Angularjs 基于令牌的身份验证-安全漏洞？

我们正在做一个Html5 AngularJS应用程序。我们正在使用基于令牌的身份验证。身份验证过程将用户登录，然后将JWT令牌返回到存储在sessionStorage中的应用程序

我们要求对应用程序进行安全审计，测试人员说令牌存储在会话存储中是一个大问题。因为他可以复制令牌并从其他设备模拟用户

我应该在何处以及如何存储此令牌以确保其安全？由于黑客需要访问实际设备才能执行此攻击，因此将其留在会话存储中是否存在风险

---

关于

提高令牌存储安全性的一种方法是将令牌存储在设置了HttpOnly标志的Cooke中。这意味着只有在应用程序发出http请求时才能访问令牌

好吧，如果您以任何方式（会话存储、本地存储、cookie、JSON）将令牌存储在本地并发送到后续调用，任何人都可以跟踪令牌，但我们可以提高服务端的安全级别（例如：允许来自同一域的请求、令牌过期逻辑等）