使用内存中 JWT 令牌保护 React 应用程序

Question

我使用“公共”SSO 客户端将 React SPA 配置为与 Keycloak 配合使用。

我将 JWT 访问令牌存储在 Redux 存储中（在生产中禁用开发工具）。

我不会在本地存储、会话存储或 Cookie 中存储任何内容。

由于我的令牌位于 Redux 存储中，因此可以公平地说，令牌存储在内存中（在页面刷新时，您将被短暂重定向回 Keycloak）。

遵循 Auth0 的 此文档页面：

Auth0 建议将令牌存储在浏览器内存中作为最安全的选项。使用 Web Workers 处理令牌的传输和存储是保护令牌的最佳方法，因为 Web Workers 与应用程序的其余部分在单独的全局范围内运行。使用 Auth0 SPA SDK，其默认存储选项是利用 Web Workers 的内存存储。如果您无法使用 Web Workers，Auth0 建议您使用 JavaScript 闭包来模拟私有方法作为替代方案。

因此，就我而言，我使用“JavaScript 闭包来模拟私有方法”方法 (CRA)。

Redux 存储不可公开访问，React 进程在运行时包含在 JavaScript 内存中。

我还强制执行 HTTPS，我添加了 Node Helmet 并且我有一个相当强大的 CSP 策略在 Keycloak 和 React 应用程序中。更不用说我的“公共”SSO 客户端在“Web 起源”和“重定向 URL”方面非常严格。

我认为我的解决方案非常安全可靠，但其他人的想法不同。

你怎么认为？