In un'app Web, archiverei i miei token Web o Sessioni JSON in un httpOnly & cookie sicuro (https). Ovviamente questa è solo la sicurezza XSS di base, ma probabilmente è una buona pratica implementarla al minimo.
Poiché non è possibile memorizzare i cookie nelle app ibride, sembra che l'unico modo per mantenere qualcuno connesso anche dopo aver chiuso l'app sia utilizzando LocalStorage, che rende ancora più insicuro l'identificatore di sessione / JWT. In realtà, non si dovrebbe mai memorizzare informazioni sensibili in LocalStorage. Non ho trovato buone soluzioni online, il che è sorprendente, considerando la quantità di app ibride esistenti. Mi piacerebbe sapere se ci sono soluzioni che hanno funzionato.