Flux(Redux)商店中的API令牌是否安全?
将通过validation呼叫返回的API令牌存储在Flux(特别是Redux)存储中是否安全? 我已经使用Webpack来编译项目中的所有资产,我相信这意味着该商店的范围远远超过第三方脚本,希望读取商店并提取令牌。
而且,对于什么是值得的,令牌是通过HTTPS在Authorization: bearer ...头中发送的。
如果页面上运行的是不受信任的第三方脚本,那么您应该认为没有任何东西是安全的,因为页面的整个完整性都会受到影响。
如果只有受信任的脚本正在运行,那么您可以假设您的令牌是安全的,这取决于浏览器的安全性以及您的站点对XSS攻击的安全程度。
编辑:
为了澄清,这是来自第三方脚本的安全性。 如果你试图从用户本身隐藏你的令牌,那么答案就是它永远是不安全的,不pipe你对代码有多混淆,因为如果用户的机器有权访问它,那么最终用户可以访问它(你可以让它更难,但不是不可能的)。