Javascript 存储此令牌的正确方法

我正在编写我的第一个flask应用程序，并使用spotify api。我想将访问令牌从这个api传递到java脚本中，如下所示

  var token = "{{ token }}";
  fetch('https://api.spotify.com/v1/me/player/currently- 
   playing', {
        headers: {
           'Authorization': `Bearer ${token}`
        }

---

我在flask应用程序之外做这件事，这样我就可以更容易地频繁地将json数据更新到网页上。此方法似乎不安全，因此我想知道在这种情况下，什么是最佳方法。

您可以使用Microsoft的Azure软件存储密钥/机密。一旦注册，您就可以访问这些资源。您可以在azure门户中的机密文件中设置机密，并在应用程序源代码中引用其中的机密。

因为您的示例几乎是直接从中获得的，并且与访问Web API有关，所以您很好。 如果您是代表用户授权更严重的操作，那么您就不会发出客户端请求。

---

由于您正在使用的令牌可能会被撤销，并且实际上会过期，因此您可以将其以明文形式存储在数据库中

不管你在客户端打电话，令牌都是可见的。如果使用ssl，get参数不会暴露，你做得很好。。。有时，人们将令牌存储在数据库或其他东西中，或者存储在单独的creds文件中。。。有时他们会加密令牌（但您仍然需要存储解密密钥），我认为这根本不能回答问题