Да, но в добавок мы оставляем данные пользователя в открытом виде в жвт. Поэтому если какому-то нехорошему человеку захочется задампить пользователей, то он спокойно может вытаскивать из того же локалстореджа токен, смотреть кто этот юзер, какие у него права, какой айди. Некоторые вообще в жвт емейл складывают.
Потом с этой готовой базой можно найти, к примеру, админов или интересующих тебя польователей и вытаскивать у них пароли при помощи паяльника