Có an toàn khi lưu trữ mã thông báo API được trả về bởi cuộc gọi xác thực trong cửa hàng Thông lượng (cụ thể, Redux) không? Tôi đã sử dụng Webpack để biên dịch tất cả các tài sản trong dự án, điều mà tôi tin rằng có nghĩa là cửa hàng nằm ngoài tầm với của các tập lệnh của bên thứ ba đang tìm cách đọc cửa hàng và trích xuất mã thông báo.Mã thông báo API có an toàn bên trong cửa hàng Flux (Redux) không?
Và, đối với những gì đáng giá, mã thông báo được gửi qua HTTPS trong tiêu đề Authorization: bearer ...
.
Tuyệt đối không. Ít nhất là không trừ khi bất kỳ ai cũng có thể xem khóa API của bạn. Bất cứ ai cũng có thể truy cập dữ liệu trong JS khách hàng bất cứ lúc nào (ví dụ: công cụ chrome dev). –
Đọc này; http://stackoverflow.com/questions/20963273/spa-best-practices-for-authentication-and-session-management –