开篇：一个经典的面试题

“说说看，用户登录后拿到的 Token，前端应该怎么存？”

这个问题看似简单，却能清晰地分辨出一个前端开发者对安全的理解深度。是存到 localStorage？sessionStorage？还是 Cookie？又或者是内存里？不同的选择背后，是截然不同的安全考量。

今天，来聊一聊 Token 的存储之道，让你不仅知道怎么做，更明白为什么这么做。

优点：

• 简单易用：API 简单，上手快。
• 永久存储（localStorage）：除非手动清除，否则一直存在。
• 会话期存储（sessionStorage）：页面关闭即清除，更安全一点。

致命缺点：

• 极易受到 XSS (跨站脚本攻击) 的攻击。这是最核心的问题。如果网站存在 XSS 漏洞，攻击者的恶意脚本可以轻易地读取到 localStorage 中的所有 Token，从而窃取用户身份。

结论： 不推荐，尤其对于敏感应用。 除非你的应用完全不存在 XSS 风险（但这几乎不可能），或者 Token 的安全级别要求不高。

选项二：Cookie

Cookie 是传统且常见的身份验证载体。

优点：

• 安全性极高：由于 Token 只存在于当前页面的内存中，关闭页面或刷新页面后 Token 立即消失。XSS 攻击者很难通过一次性注入的脚本持续地窃取到 Token（除非攻击代码常驻内存）。

缺点：

• 体验差：页面一旦刷新，Token 就没了，用户需要重新登录。这对于单页面应用 (SPA) 来说是致命的。

结论： 适用于安全要求极高、不介意频繁登录的场景（如银行系统）。 对于普通 Web 应用，体验不可接受。

终极方案：组合拳 + 架构思维

既然没有完美的银弹，现代前端的最佳实践通常是 组合方案 和 架构优化。

实践一：Cookie（HttpOnly + Secure） + 防御 CSRF

这是最传统但依然非常稳健的方案。

1. 后端在登录成功后，设置一个 HttpOnly、Secure 的 Cookie 来存放 Token（可以是 JWT，也可以是 Session ID）。
2. 前端基本不用操心 Token 的存储和携带问题，由浏览器自动完成。
3. 后端必须部署完善的 CSRF 防护策略，例如：
   • 从 Cookie 中读取 Token 或 Session ID 进行身份验证。
   • 同时，要求请求必须携带一个额外的（由后端生成并通过 API 返回给前端的）X-CSRF-Token Header，并与 Session 中存储的值进行比对。

实践二：Access Token + Refresh Token

这是目前 API 接口认证非常流行的方案，完美解决了内存存储体验差的问题。

1. 登录：用户输入密码登录。
2. 返回双 Token：服务端返回两个 Token：
   • access_token：短期有效（例如 2 小时），用于请求受保护的 API。
   • refresh_token：长期有效（例如 7 天），仅用于获取新的 access_token，不应具备API访问权限。
3. 存储策略：
   • access_token：存入内存。这样即使被 XSS 窃取，有效期也很短，风险可控。
   • refresh_token：存入 HttpOnly Cookie。因为它有效期长，必须严加保护。由于其本身不直接用于业务请求，即使遭遇 CSRF，攻击者也无法用它来做任何关键操作（只能用来换一个短期的 access_token，而该 access_token 又会因为存在于内存而难以被攻击者获取）。
4. 无感刷新：当 access_token 过期后，前端自动（通过 refresh_token）调用刷新接口获取新的 access_token，用户无感知。

这个方案在安全性和用户体验之间取得了绝佳的平衡，是当前众多大型应用的首选。