我们有一些选项,例如localStorage,Cookie,浏览器内存来存储我们的JWT,我也知道localStorage容易受到XSS的攻击,而httpOnly cookie容易受到CSRF的影响,当重新加载/刷新时,它将丢失JWT放置在浏览器中。 我研究了后一个问题,并提出了将Refresh Token放在httpOnly cookie中并将访问令牌放在浏览器内存中的解决方案可以在某种程度上节省我的精力。 但是根据我的用例,我有一个Admin仪表板,只有经过身份验证的人员(基本上是admin)可以从中进行授权的API调用。另外,在我的WebApp中,我们没有用户输入字段(文本字段),因此我认为XSS和CSRF很难受到攻击。那么,我可以将JWT令牌放置在httpOnly cookie中且期限很长吗? 这对我的用例来说是一个好的解决方案吗?