将会话密钥存储在本地存储中

好的，我有一个用node.js编写的API，我试图添加会话function。 API是完整的RESTful。当用户login时，我通过GET ajax调用向/ login端点发送用户/传递组合。服务器然后盐的密码，并将其与我的mongo数据库中存储的哈希比较。然后根据login的成功情况，它会以真或假回应。

我想实现的是这样的：当用户input一个有效的login时，服务器生成一个会话密钥。这个密钥存储在用户文档中的mongo中。这个会话密钥然后与GET请求一起返回。这个会话密钥将被包含在所有未来请求的JSON体中，以允许用户访问他们的账户信息。

我的问题：是否安全的存储这个会话密钥在浏览器的localStorage或sessionStorage？这会打开用户的任何漏洞？