En una aplicación web, almacenaría mis tokens web JSON o mis sesiones en httpOnly & cookie segura (https) Obviamente, esto es, en el mejor de los casos, la seguridad básica de XSS, pero probablemente sea una buena práctica implementar eso como mínimo.
Ya que no puede almacenar cookies en aplicaciones híbridas, parece que la única forma de mantener a alguien que ha iniciado sesión incluso después de cerrar su aplicación es mediante el uso de LocalStorage, lo que hace que su Identificador de Sesiones / JWT sea aún más inseguro. De hecho, nunca se supone que almacenes información confidencial en LocalStorage. No he encontrado ninguna buena solución en línea, lo cual es sorprendente, considerando la cantidad de aplicaciones híbridas que existen. Me encantaría saber si hay alguna solución que haya funcionado.