Boris Köhli-Richter
Preguntanormalmente lo que uno hace en el frontend es guardar el token en localstorage. Pero que pasa si alguien abre la consola del navegador y extrae el token guardado? asi de facil puede robarte tu identidad, mas alla del tiempo de vida del token nunca supe como resolver ese pequeño detalle de seguridad…algun iluminado?
Miguel Segura
Si, tengo entendido que un JWT debe colocarse en una cookie Guardar el JWT en localstorage es altamente peligroso
Te recomiendo el curso de Autenticacion con passport https://platzi.com/clases/passport/
Alejo Torres Jimenez
El toquen de autenticacion JWT debe guardarse en la memoria de la aplicacion del cliente (conocido tambien como estado de la aplicacion). Con respecto al token de refresco (refreshToken) es buena practica guardarlo en una cookie httpOnly para minimizar ataques de CSRF. Todo lo que puede escribirse con JS, puede ser accedido con JS. por lo que tambien es bueno implementar una estrategia de rotacion de tokens para minimizar el daño que un token comprometido puede causar.
