将身份验证调用返回的 API token 存储在 Flux(特别是 Redux)存储中是否安全?我已经使用 Webpack 编译了项目中的所有 Assets ,我认为这意味着商店的范围超出了第三方脚本的范围,第三方脚本希望读取商店并提取 token 。
并且,就其值(value)而言, token 是在 Authorization: bearer ... header 中通过 HTTPS 发送的。
最佳答案
如果不受信任的第 3 方脚本在页面上运行,那么您应该假设没有什么是安全的,因为页面的整体完整性受到损害。
如果只有受信任的脚本在运行,那么您可以假设您的 token 是安全的,这取决于浏览器的安全性以及您的网站抵御 XSS 攻击的安全程度。
编辑:
澄清一下,这是来自第 3 方脚本的安全性。如果您试图对用户自己隐藏您的 token ,那么答案是它始终是不安全的,无论您对代码进行多少混淆,因为如果用户的机器可以访问它,那么最终用户可以访问它(你可以让它变得更难,但并非不可能)。
关于node.js - API token 在 Flux (Redux) 存储中安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32722505/