שאלה | מהו המיקום הבטוח והמומלץ לאחסן בו טוקן בצד הלקוח, וכיצד יש לאמתו בצד השרת?

מהו המיקום הבטוח והמומלץ לאחסן בו טוקן בצד הלקוח, וכיצד יש לאמתו בצד השרת?

שאלה #183141

		ב־localStorage, ומאמתים אותו על ידי שליחת בקשה לשרת רק בעת התחברות
		בתוך ה־URL של הבקשה (?token=...), והשרת קורא אותו מה־query
		ב־Cookie עם הדגלים HttpOnly ו־Secure, והשרת בודק אותו בכל בקשה באמצעות Middleware
		בזיכרון הגלובלי של הדפדפן (window.token), כי זה הכי מהיר ואמין

שאלות ממבחנים - 2020 - טוקן כדאי לאחסן ב־cookie HttpOnly+Secure כדי למנוע גישה מ־JavaScript (הגנה מ־XSS) ולהבטיח שליחה רק ב־HTTPS. בצד השרת מוסיפים middleware שמוודא את תקפות הטוקן בכל בקשה רלוונטית.