您应该如何存储访问令牌？

Question

我们正在构建一个带有React / Redux前端和NodeJS / Express后端的应用程序。我不是安全专家，所以选择使用Auth0来处理身份验证。

Auth0在用户登录时返回一个ID令牌和一个访问令牌，该访问令牌用于验证和访问我们的后端API。

我们已经看到了此访问令牌stored before in Local Storage，但是Auth0与that here相矛盾。此外，in this answer似乎有些建议像does this one一样存储在本地存储中。

这让我非常困惑。我们如何在不将令牌存储到内存的情况下存储和持久化令牌？我们只能将其存储在Redux中，但刷新后会清除，这不是解决方案。

在这里，它们显示用户登录并返回访问令牌，并且稍后将它与API请求一起发送，据我了解，但是与此同时它将存储在哪里？

我们应该如何存储访问令牌，以便我们的应用程序可以访问我们的API？还是我们根本不应该存储它？

Answer 1

我们决定将访问令牌存储在React Context Provider中。看起来Auth0已经更新了他们的快速入门指南，以执行相同的操作。

Answer 2

存储AT / RT的最佳方法是为客户端后端服务器使用分布式缓存。通过这种方式，您确保所有API调用都必须由您的后端应用程序传输。在您的前端中，您只需要传递ID_Token巫婆即可识别您的最终用户。 用户发送ID_Token->客户端（后端Web应用程序）检查Id_Token并从缓存中获取AT->用AT调用API。