ReactJS 和 DRF：如何将 JWT 令牌存储在 HTTPonly cookie 中？

目前，我的 Web 应用程序可以使用登录功能，在发出登录请求后，服务器会使用包含 2 个令牌的 JSON 对象进行响应：

这是登录功能：

async function login() {
    const data = {
            "email": "[email protected] /cdn-cgi/l/email-protection",
            "password": "testPassword123"
        }
    const response = await Backend.post('auth/login/', data)
    console.log(response.data)
}

这是回应：

{
"access": "access_token_here",
"refresh": "refresh_token_here" 
}

根据 Postman 的说法，此响应还包含 3 个 cookie：

1) access_token=access_token_here; Path=/; Domain=localhost; HttpOnly; Expires=Thu, 29 Oct 2020 06:49:56 GMT;
2) csrftoken=csrf_token_here; Path=/; Domain=localhost; Expires=Thu, 28 Oct 2021 06:44:56 GMT;
3) sessionid=session_id_here; Path=/; Domain=localhost; HttpOnly; Expires=Thu, 12 Nov 2020 06:44:56 GMT;

要向服务器中受保护的端点发出请求，我可以将 access_token 作为 cookie 或承载令牌发送。 我的理解是，将这些令牌存储在本地存储中并不是很安全。

那么如何将它们存储在 httpOnly cookie 中呢？或者有更好的方法来处理这个问题吗？

我的后端服务器使用 Django Rest Framework。

我猜你想设置httpOnly cookie，因为它比在localStorage中设置令牌（tokens）更安全？

最安全的方法是仅将令牌存储在内存（状态）中，而不将其存储在 cookie 或 localStorage 中。每次页面刷新后，强制用户重新登录。这就是银行网站的运作方式。

如果您需要在客户端存储令牌（您不想在每次刷新后强制登录），那么我会推荐 localStorage 而不是 cookie。 React 本身受到 XSS 保护。但是，如果存在 XSS，那么 localStorage 数据当然很容易读取，但 cookie 中的数据（甚至 httpOnly）也可以被利用（通过发送带有可用 cookie 的请求）。 localStorage 和 cookies 都容易受到 XSS 的攻击，但正如我所写，React 具有针对 XSS 的保护。使用 localStorage 也更容易实现。

请参阅此讨论：链接到 reacjs Reddit 子版块 https://www.reddit.com/r/reactjs/comments/cubfsa/local_storage_vs_cookies_authentication_tokens/.