Qual è il modo più sicuro per archiviare il trasferimento e archiviare un token JWT o qualsiasi token di autenticazione in generale?
Qualcuno mi ha detto che è sicuro inviare il token di autenticazione come cookie, ma non capisco come ciò fornirebbe una sicurezza aggiuntiva semplicemente usando un cookie di ID di sessione normale per l'autenticazione, poiché il browser includerebbe quel cookie per tutti richieste in uscita comunque. Ho frainteso qualcosa?
Ciò che per me è molto più sensato è se il token fosse memorizzato in un'intestazione o un corpo di risposta, quindi estratto nel lato client a livello di codice e aggiunto manualmente a ciascuna richiesta. Non ci sarebbe modo di intercettare il token sulla connessione HTTPS e gli attacchi CSRF sono resi impossibili (io userei comunque il token CSRF). Ovviamente il token di autenticazione è ancora accessibile dall'attacco XSS, ma il cookie non è anche soggetto a questo attacco?
Non capisco in che modo il token in un cookie fornisce QUALSIASI sicurezza aggiuntiva rispetto all'autenticazione basata su un semplice cookie ID di sessione? Mi mancano alcune informazioni?