Debo realizar el inicio de sesión automático con un token en mi sitio web. El token se genera en el back-end, en el front-end (aplicación de una sola página). Tengo que almacenar el token de forma segura.
Estoy usando canales seguros (HTTPS y WSS).
¿Podría suponer, por favor, fallas de seguridad / vectores de ataque en los próximos casos? :
- Almacene el token como variable global (accesible desde la consola), sin cifrado;
- Almacene el token como variable local, sin cifrado;
- Almacene el token en el almacenamiento local, sin cifrado;
- Almacene el token en el almacenamiento local con cifrado.
¿Cuáles son las mejores prácticas para almacenar el token para mis necesidades?