Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
将身份验证调用返回的 API 令牌存储在 Flux(特别是 Redux)存储中是否安全?我已经使用 Webpack 编译了项目中的所有资产,我相信这意味着商店的范围超出了第三方脚本的范围,第三方脚本希望读取商店并提取令牌。
而且,值得一提的是,令牌是通过 HTTPS 在Authorization: bearer ...标头中发送的。
Authorization: bearer ...
如果页面上正在运行不受信任的 3rd 方脚本,那么您应该假设没有什么是安全的,因为页面的整体完整性受到了损害。
如果只有受信任的脚本在运行,那么您可以假设您的令牌是安全的,这取决于浏览器的安全性以及您的站点对 XSS 攻击的安全性。
编辑:
澄清一下,这是第 3 方脚本的安全性。如果您试图向用户自己隐藏您的令牌,那么答案是它总是不安全的,无论您如何混淆您的代码,因为如果用户的机器可以访问它,那么最终用户可以访问它(你可以让它变得更加困难,但并非不可能)。