تخزين JWT في localStorage بإستخدام React

Adam Ebrahim · 28 مارس 2021

هل من الآمن تخزين JWT في localStorage باستخدام ReactJS؟

أقوم حاليًا ببناء تطبيق من صفحة واحدة SPA باستخدام ReactJS. قرأت أن أحد أسباب عدم استخدام localStorage هو بسبب ثغرات XSS. ونظرًا لأن React تتخطى escapes كل مدخلات المستخدم، فهل سيكون استخدام localStorage آمنًا الآن؟

أحمد حبنكة · 28 مارس 2021

بعكس ما يظنه البعض نعم تخزين token في localStorage غير آمن حتى وإن كنت تستخدم ReactJS، إذاً أين أخزنها ﻷن السيرفر يحتاجها؟

قل لجماعة السيرفر أن يخزنوها بالـCookies وليجعلوها Http-Only أي لا يمكن قراءتها من الجافاسكريبت ولينسوا ذاك Authorization Header ﻷنه يجبر مبرمج frontend على استخدام طرق غير آمنة لتخزين token.

وﻷن Cookie لا يمكن قراءتها بالجافاسكريبت لذلك خزن في localStorage عند تسجيل الدخول الناجح متحول بولياني وضعه على true، هذا فقط من أجل واجهة المستخدم حتى لا يضطر المستخدم لتسجيل الدخول مع كل request وليس للأمان واﻷمان يتحقق منه السيرفر من خلال التحقق من Cookies المرسلة مع request.

لا تقلق بشأن الـAJAX requests التي تقوم بها ﻷن Cookies ترسل بشكل تلقائي مع request ولا داعي ﻷن تقوم بذلك بنفسك إلا إذا كنت ترسل cross-domain request حينها كل ما عليك هو تمرير withCredentials: true ضمن request config لمكتبة axios مثال:

axios.get('https://domaindifferentfromours.com', {
  withCredentials: true
});

بالطبع ما قلته هو الحل المثالي ولكن الواقع قد يفرض عليك تخزين JWT Token ضمن localStorage وهذا هو الحال عند استخدام third-party API مثلاً حيث لا يمكنك التحكم بالسيرفر.