node.js - online - ¿Están seguros los tokens API dentro de un almacén Flux(Redux)?
jwt-simple (1)
¿Sería seguro almacenar un token API devuelto por una llamada de autenticación en un almacén Flux (específicamente, Redux)? He usado Webpack para compilar todos los activos en el proyecto, lo que creo significa que la tienda está fuera del alcance de los scripts de terceros que buscan leer la tienda y extraer el token.
Y, por lo que sea, el token se envía a través de HTTPS en un encabezado Authorization: bearer ...
Si se ejecutan scripts de terceros que no son de confianza en la página, debe suponer que no hay nada seguro ya que toda la integridad de la página se ve comprometida.
Si solo se ejecutan scripts confiables, entonces puede asumir que su token es seguro, sujeto a la seguridad del navegador y cuán seguro es su sitio contra los ataques XSS.
EDITAR:
Para aclarar, esto es seguridad de scripts de terceros. Si está tratando de ocultar su token del usuario, entonces la respuesta es que siempre será inseguro, sin importar cuánto ofusque su código, ya que si la máquina del usuario tiene acceso a él, entonces, en última instancia, el usuario puede tener acceso a él. (puedes hacerlo más difícil, pero no imposible).