سلام. فرض کنید که یک پروژه web api هست که token authentication در اون پشتیبانی میشه. ما در برنامه وب به شکلی از api توکن رو دریافت میکنیم. حالا این توکن رو کجا باید ذخیره کنیم تا در درخواست های بعدی ajax بشه در header درخواست،ازش استفاده کرد. اگر این توکن در جایی در سمت کاربر مثل cookie یا localstorege ذخیره بشه ، آیا امنیت رو پایین نمیاره؟ ممنون میشم راهنمایی بفرمایید.

اگر این توکن در جایی در سمت کاربر مثل cookie یا localstorege ذخیره بشه ، آیا امنیت رو پایین نمیاره؟
با توجه به اینکه کوکی و Local Storage هر کاربر مختص همون کاربر هست و Browser ها تمام تلاش شون رو می کنند که کسی نتونه این اطلاعات رو استخراج و سوء استفاده کنه میشه گفت قرار دادن Token در اون محل ها از امنیت بالایی برخوردار خواهد بود. منشاء لو رفتن این موارد هم با اطمینان از مواردی که گفتم فقط می تونه بی احتیاطی کاربر در حفاظت از حساب کاربری اش باشه که در اون مورد شما نمی توانید کاری کنید.

اگر فقط در ajax بهش نیاز دارید localstorege بهتر خواهد بود و نیازی به ارسال توکنها در درخواست ها توسط کوکی ها نیست