选择存储方式更多是在权衡利弊，而不是试图找到一个明确的最佳选择。让我们来看几个选项：

选项1 - Web存储 (localStorage 或 sessionStorage)

优点

• 浏览器不会自动将Web存储中的任何内容包含到HTTP请求中，使其不容易受到CSRF攻击
• 只能由在创建数据的完全相同域中运行的Javascript访问
• 允许使用最语义化正确的方法在HTTP中传递令牌身份验证凭据(Authorization头和Bearer模式)
• 很容易挑选应该包含身份验证的请求

缺点

• 不能被在创建数据的子域中运行的Javascript访问(由example.com写入的值无法被sub.example.com读取)
• ⚠️易受XSS攻击
• 为了执行经过身份验证的请求，只能使用浏览器/库API允许你自定义请求(在Authorization头中传递令牌)

用法

您可以利用浏览器的localStorage或sessionStorage API在执行请求时存储和检索令牌。

localStorage.setItem('token', 'asY-x34SfYPk'); // write
console.log(localStorage.getItem('token')); // read

选项2 - 仅HTTP的Cookie

优点

• 它不容易受到XSS攻击
• 浏览器会自动包含满足Cookie规范（域，路径和生命周期）的任何请求中的标记
• Cookie可以在顶级域中创建并用于由子域执行的请求

缺点

• ⚠️ 容易受到CSRF攻击
• 您需要注意并始终考虑子域中的Cookie可能的使用方式
• 挑选应该包括Cookie的请求是可行的，但会有些混乱
• 您可能会遇到一些小差异的问题，因为浏览器处理Cookie的方式不同
• 如果不小心，则可能会实现一个容易受到XSS攻击的CSRF缓解策略
• 服务器端需要验证Cookie以进行身份验证，而不是更合适的Authorization头

用法

不需要在客户端执行任何操作，因为浏览器会自动处理所有事情。

选项3 - Javascript可以访问的Cookie _{被服务器端忽略}

优点

• 不容易受到CSRF攻击（因为服务器端忽略它）
• Cookie可以在顶级域中创建并用于由子域执行的请求
• 允许使用最语义正确的方法通过HTTP传递令牌身份验证凭据（使用带有Bearer方案的Authorization头）
• 较易挑选应该包含身份验证的请求

缺点

• ⚠️ 容易受到XSS攻击
• 如果设置Cookie的路径不当，则浏览器会自动在请求中包含Cookie，从而增加不必要的开销
• 为了执行身份验证请求，只能使用允许您自定义请求的浏览器/库API（在Authorization头中传递令牌）

用法

您可以利用浏览器的document.cookie API存储和检索令牌以便执行请求。这个API没有Web存储那么细粒度（您获取所有Cookie），因此需要额外的工作来解析所需的信息。

document.cookie = "token=asY-x34SfYPk"; // write
console.log(document.cookie); // read

补充说明

这可能看起来是一个奇怪的选项，但它有一个好处——你可以将存储空间提供给顶级域名和所有子域名，这是Web存储无法提供的。然而，实现更加复杂。

---

结论 - 最终说明

对于大多数常见情况，我建议选择选项1，主要原因如下:

• 如果你创建了一个Web应用程序，你需要处理XSS；无论你在哪里存储令牌，都需要处理
• 如果你不使用基于cookie的身份验证，CSRF甚至不会出现在你的视野中，所以这是少了一件需要担心的事情

另请注意，基于cookie的选项也有很大差异，对于选项3，cookie纯粹用作存储机制，因此它几乎就像是客户端的实现细节。然而，选项2意味着更传统的处理身份验证的方式；如果您想进一步了解cookie与token的区别，您可能会发现本文有趣：Cookies vs Tokens: The Definitive Guide。

最后，虽然没有任何一个选项提到这一点，但使用HTTPS是强制性的，这意味着cookie应该被适当地创建以考虑到这一点。

[编辑]本答案已被采纳，但来自João Angelo的回应更加详细，值得考虑。然而要注意，由于自2016年11月以来安全实践已发展，Option 2应该优先于Option 1实施。

查看此网站：https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/

如果您想要存储它们，应该使用localStorage或sessionStorage（如果可用）或cookies。 您还应该使用Authorization头，但不应该使用基本方案，而应使用Bearer方案：

curl -v -X POST -H "Authorization: Bearer YOUR_JWT_HERE"

使用 JS，您可以使用以下代码：

<script type='text/javascript'>
// define vars
var url = 'https://...';

// ajax call
$.ajax({
    url: url,
    dataType : 'jsonp',
    beforeSend : function(xhr) {
      // set header if JWT is set
      if ($window.sessionStorage.token) {
          xhr.setRequestHeader("Authorization", "Bearer " +  $window.sessionStorage.token);
      }

    },
    error : function() {
      // error handler
    },
    success: function(data) {
        // success handler
    }
});
</script>

截至2021年，随着现今大多数浏览器引入了SameSite：Lax / Strict选项来设置cookie，情况有所改变。

因此，为了阐述João Angelo的答案，我会说最安全的方式是：

使用以下选项将JWT存储在cookie中：

• HttpOnly（仅限HTTP）
• Secure（安全）
• SameSite：Lax或Strict

这将同时避免XSS和CSRF攻击

这篇博客文章对比了浏览器存储和cookie，并解决了每种情况下可能发生的攻击。建议在jwt中添加xsrf令牌，同时详细的解释请看https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/。

永远不要在存储外部存储JWT。

如果希望将JWT保留在长时间会话期间（例如令牌的到期时间仅为15分钟，但会话需要1小时），则每当令牌即将过期时，在后台静默地重新登录用户。

如果要跨会话保留JWT，则应使用“刷新令牌”(refresh token)。BTW，刷新令牌大多数情况下也用于上述目的。您应该将其存储在HttpOnly cookie中（更准确地说，由服务器通过Set-Cookie头设置，前端调用/refresh_token API终点）。

顺便说一下，刷新令牌是最小的罪恶；为了补充它，您还应确保遵循缓解XSS的最佳实践。

localStorage、sessionStorage和cookie都有漏洞。

这是我曾经读过的关于JWT的最佳指南: https://blog.hasura.io/best-practices-of-using-jwt-with-graphql/