I token API sono sicuri all'interno di un archivio Flux (Redux)?

Question

Sarebbe sicuro memorizzare un token API restituito da una chiamata di autenticazione in un archivio Flux (in particolare, Redux)? Ho usato Webpack per compilare tutte le risorse nel progetto, che a mio avviso significa che il negozio è fuori portata da script di terze parti che cercano di leggere il negozio ed estrarre il token.

E, per quello che vale, il token viene inviato su HTTPS in un'intestazione Authorization: bearer ....

Answer 1

Se nella pagina sono in esecuzione script di terzi non attendibili, è necessario presumere che nulla è sicuro poiché l'integrità della pagina è compromessa.

Se sono in esecuzione solo script attendibili, è possibile presumere che il token sia sicuro, soggetto alla sicurezza del browser e alla sicurezza del sito contro gli attacchi XSS.

EDIT:

Per chiarire, questo è la sicurezza da script 3rd party. Se stai cercando di nascondere il tuo token dall'utente stesso, allora la risposta è che sarà sempre insicuro, non importa quanto tu offuschi il tuo codice dal momento che se la macchina dell'utente ha accesso ad esso, alla fine l'utente può accedervi (puoi renderlo più difficile, ma non impossibile).