JWT令牌在客户端的存储位置以及如何保护它？[副本]

我是JWT新手，我只是将其作为JSON中的java对象返回，并制作了一些过滤器，以便它可以像Spring Security中的session_id一样工作。 但是我不明白JWT是如何存储在客户端的，在服务器响应之后它会去哪里？它是否由coockies中的所有浏览器自动存储？所有浏览器都支持JWT吗？ 我很感激你的回答。

我正在使用Spring Boot 2.1.3和Spring Security 5.1.3实现一个OAuth2 web应用程序客户端，它通过授权代码授予类型从授权服务器获取JWT令牌，并调用受保护的资源服务器。 这是到目前为止的执行情况： 安全配置和用于调用受保护资源的restTemplate bean： 和调用受保护资源服务器的控制器： OAuth2客户端配置直接在application.yml中

我正在用Django和angular构建一个应用程序。目前，我正在本地存储上存储后端发布的JWT。但是，我担心XSS攻击。我应该使用仅HTTP cookie存储令牌吗？我还考虑将令牌存储在auth服务类的变量字段中。但我不能完全确定angular是否在整个应用程序中共享该服务。我的身份验证服务是否只有一个实例？

我的SPA应用程序使用以下体系结构（来源）： 这假设我的客户端应用程序知道刷新令牌，因为如果没有用户凭据（例如电子邮件/密码），我需要它来请求新的访问令牌。 我的问题：在客户端应用程序中，刷新令牌存储在哪里？关于这个话题有很多问题/答案，但是关于刷新标记，答案并不清楚。 访问令牌和刷新令牌不应存储在本地/会话存储器中，因为它们不是存放任何敏感数据的地方。因此，我会将访问令牌存储在一个cookie中

我无法轻松决定如何从后端接收刷新令牌和访问令牌，以及将其存储在哪里。 我理解的认证过程如下。 XSS可以用cookies进行防御 我参考了许多文章，据说XSS将被cookie阻止，CSRF将被刷新令牌和访问令牌保护。 对于刷新令牌，它存储在webStorage中。 然而，为了防止XSS，在访问令牌的情况下，似乎应该使用cookie来保护它们（仅适用于Http），在刷新令牌的情况下，似乎应该将它们存

我正在实现一个需要身份验证的REST服务。我正在使用JWT。 现在，Android应用程序在登录时发送一个请求，获得一个令牌，并且必须在每个后续请求的头中发送令牌。 我的问题是，如何存储令牌，或者我应该将其存储在哪里？ 共享偏好 SQLite数据库 归档 最好的做法是什么？还是我完全错了？