Décodeur/Guides/Où stocker un JWT : localStorage vs cookie
Guide
Où stocker un JWT : localStorage vs cookie
L'endroit où vous stockez un JWT dans le navigateur change votre risque XSS et CSRF.
localStorage : facile à utiliser mais lisible par JavaScript, donc vulnérable au XSS — un script injecté peut voler le jeton.
Cookie HttpOnly : JavaScript ne peut pas le lire, il résiste au XSS, mais il est envoyé automatiquement, d'où une défense CSRF nécessaire (SameSite / jeton CSRF).
Recommandé : gardez le jeton de rafraîchissement dans un cookie HttpOnly, Secure et SameSite, et le jeton d'accès brièvement en mémoire (une variable).
Où que vous le stockiez, HTTPS est obligatoire ; gardez des durées courtes et ne mettez jamais de données sensibles dans la charge utile.
Essayez de décoder un jeton vous-mêmeCollez simplement et l'en-tête, la charge utile et les revendications se déploient instantanément.