¿Cuál es la forma más segura de almacenar la transferencia y almacenar un token JWT, o cualquier token de autenticación en general?
Alguien me dijo que es seguro enviar el token de autenticación como una cookie, pero no entiendo cómo esto proporcionaría seguridad adicional con solo usar una cookie de identificación de sesión simple para la autenticación, ya que el navegador incluiría esa cookie para todos solicitudes salientes de todos modos. ¿He entendido mal algo?
Lo que tiene mucho más sentido para mí, es si el token se almacenaría en un encabezado o cuerpo de respuesta, luego se extraería en el lado del cliente mediante programación y se agregaría manualmente a cada solicitud. No habría manera de interceptar el token a través de la conexión HTTPS y los ataques CSRF se vuelven imposibles (yo usaría el token CSRF de todos modos). Por supuesto, a la token de autenticación todavía se puede acceder mediante un ataque XSS, pero ¿no es la cookie también propensa a este ataque?
No entiendo cómo el token en una cookie proporciona CUALQUIER seguridad adicional sobre la autenticación basada en una cookie de identificación de sesión simple. ¿Me falta alguna información?