Javascript 存储访问令牌以供前端使用的位置

我有一个liberty服务器，带有一个web应用程序和一个

RESTAPI

两者都由

Liberty服务器上的
openid
connect保护。api接受用于身份验证的访问令牌。web应用程序不完全是前端，因此我需要自由来处理身份验证

我正在考虑将访问令牌存储在cookie中，让前端读取cookie并将令牌添加到任何api调用中。有更好的选择吗

对于javascript可读cookie，我需要小心使用
XSS
您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储，则可以使用会话存储，其中本地存储用于长期存储。
您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储令牌，则可以使用会话存储，当您想长期存储令牌时，可以使用本地存储。
考虑将访问令牌存储在浏览器本地存储中。向API发出请求时，将访问令牌（从存储器）作为头添加到请求中。这样就无法执行XSS攻击。JS是否仍然可以读取本地存储？对本地存储的访问基于提供脚本的域。因此，存储在本地存储中的所有内容都只能通过域中的脚本访问。但是，我可以从java服务器后端访问本地存储吗？不，本地存储在客户端浏览器中（如google chrome、mozilla）。请考虑将访问令牌存储在浏览器本地存储中。向API发出请求时，将访问令牌（从存储器）作为头添加到请求中。这样就无法执行XSS攻击。JS是否仍然可以读取本地存储？对本地存储的访问基于提供脚本的域。因此，存储在本地存储中的所有内容都只能通过域中的脚本访问。但是，我可以从java服务器后端访问本地存储吗？不，本地存储在客户端浏览器中（如google chrome、mozilla）。这不是正确的解决方案。阅读更多详细信息这不是正确的解决方案。阅读更多细节