我得到了相互矛盾的答案,其中很少有人表示可以使用 localstorage,也很少有人强烈表示不要使用 localstorage 来存储用户 ID、角色 ID、JWT 令牌。我对大量的答案和建议感到不知所措,因此决定发布一个问题以澄清问题。
我有一个微服务应用程序,前端有 React js,后端有 JWT 令牌。登录后,我获取来自后端的用户 ID、角色 ID、JWT 令牌,并将其存储在 React js 的本地存储中。我使用角色 ID 来显示特定于该角色的菜单/链接。
我的问题是,将用户 ID 和角色 ID 存储在本地存储中安全吗?如果我使用像react-secure-storage这样的库来安全地存储在本地存储中会更安全吗?如果没有,那么存储用户 ID、角色 ID 和 JWT 令牌的最佳方式是什么?
这完全取决于您要存储的数据的“敏感度”。将数据存储在 localStorage 中不是一个好主意,因为 localStorage 非常不安全。如果有人在图书馆的计算机上使用您的应用程序,那么其他人就坐在同一台计算机上......第二个人可以从第一个用户那里读取 localStorage 中的数据。
所以你必须问自己:你所保存的数据有多“敏感”?如果其他人获得了该数据,他们可以用它做什么(损害)?
任何数据持久化都是如此,而不仅仅是本地存储。 Cookie 甚至您“安全”存储的数据也是如此。您需要了解存储在磁盘上的数据可以由拥有足够技能、工具和/或时间的人恢复。 “加密数据”只会增加恢复数据所需的技能和/或时间。