¿Cuáles son las preocupaciones con JWT?

Cuando guardamos nuestros JWT en el localStorage del navegador, somos vulnerables a ataques de Cross Site Scripting (XSS).

En realidad, debemos tratar estos tokens como si fueran datos de la tarjeta de crédito de nuestros usuarios, nunca deberíamos almacenarlos en ninguna parte, más bien, podemos almacenarlos en memoria (mejor aún si tenemos la posibilidad de utilizar al backend y podemos implementar el flujo de Authorization Code Grant para conservar los datos en la memoria del servidor).

También existen varias alternativas basadas en JWT como JWS, JWE y JOSE, sin embargo, ninguna de ellas es la respuesta definitiva a todos los problemas de seguridad en nuestras aplicaciones, nuestro trabajo NO es asegurarnos de que nuestra tecnología sea la más poderosa, más bien, debemos trabajar con el mejor conjunto de buenas practicas con buenas tecnologías.

El desafio de esta clase es describir las diferencias entre OAuth 1.0 y OAuth 2.0 en la sección de comentarios.