Но звучит как замена refresh токенам

Как же сделать rest api без сессий?

Jenkins blue ocean на jwt

Ну в принципе не пример

Но думаю owasp тоже не лохи

Самая беда в том что по безопасности нужно инфу по крохам собирать

> Do not store session identifiers in local storage as the data is always accesible by JavaScript. Cookies can mitigate this risk using the httpOnly flag.

Да

Тоже слышал об этос

Но тогда нужно csrf токены делать

Ещё в нагрузку

Вроде как

Да, конечно надо.

Либо ты хранишь в куках и тебе больно при csrf,
Либо ты хранишь в сторадже и сгораешь при xss.
Проблемы аналогичны, но в случае стораджа и xss тебе надо ещё все сессии/токены сбрасывать, потому что их могли незаметно украсть а юзать после закрытия дыры уже.

Хотя кто-то (кто топит за хранение в локалсторадже) и настаивает, что от xss проще защититься, кмк они врут. Защита от xss сложная (если всё делаешь правильно - на самом деле нет, но везде говнокод), и чаще всплывают баги xss чем csrf, насколько я в курсе.

От csrf защититься просто, и эта защита даже встроена много где.

Используй куки, не используй jwt

ангуляр содержит поддержку csrf

и защиту от xss

но мне интересен какой вектор у xss в случае стораджа