Bezpieczeństwo JWT

Zależy od aplikacji. W przypadku klasycznej aplikacji, gdzie JS nie wysyła tokenu np. w żądaniach ajax, należy użyć ciastka z HttpOnly (Sprawdź na OWASP).

W innym przypadku nie ma większej różnicy, lecz normalnie dla apek SPA i podobnych wtedy stosuje się LocalStorage.

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.