Reactjs 在哪里安全地存储刷新令牌

我应该在哪里保存刷新令牌， 我把它保存在我的数据库中，但是当我发送过期的JWT时，所以当我尝试有效时，我无法获得我保存在那里的有效负载。 使用atob JWT解码是否安全，以便我获取有效负载和用户名，并在db中找到保存刷新令牌。 因为如果我保存在本地存储中，这是不安全的，因为我们只在那里保存一个长寿命令牌，而不是JWT（短命令牌）

我试图保存它的cookies，但CSRF攻击也是一个问题，即使我添加了httponly和安全的一个 如果我错了，请纠正我

编辑： 我还想问一下我是如何进行静默登录的，

---

这是否像我为14m设置了setInterval，因此即使用户什么也不做，我也会得到新的令牌？

您可以在内存或cookie之间进行选择。如果你能使用cookies，那么最好的选择就是cookie！CSRF攻击不会成功，如果您将其存储在cookie中，则另一个站点无法访问另一个站点cookie。您也可以访问XSRF攻击，因为您从未向资源服务器发送refrash令牌，它仅用于身份验证服务器。

是的，但是为什么我要将刷新令牌保存在cookie或本地存储中，并尝试解码它本地存储不是好的选择。内存或cookies。您拥有续订访问令牌的令牌。黑客也不会及时解码你们的信息来获取访问令牌。Access token live大约5分钟。我找到了解释你的链接：谢谢你的帮助，我已经阅读了，但是如果刷新令牌位于客户端，解码时间会增加，因为你有1d或2d来刷新令牌，加上CSRF令牌打开的cookies，哪个LocalStorage对XSS开放，但对XSS攻击的大部分XSS部分基本上是不可能的，就像我的想法一样，在令牌过期之前放置1分钟的间隔发送到db以获取新令牌您获得JWT hadbook了吗？