前后端分离中，前端获取后端token的存储安全问题

1. 不是绝对安全，但比没有 token 安全；
2. token 一般有时效性，过期作废，不是永久有效；
3. 仅依靠 token 来验证的话，被盗取就无法保证安全了；
4. 具体例子可以参考 微信 或者 JWT。

是不安全，您可以看一下OAuth 2.0

这种就放在cookie中然后设置httpOnly会更安全点。

token在前台可被人获取并不是不安全，因为token都是配合后台的session使用的。
A拿了B的token去请求，在服务器那又是另外一个session -> 另外的token，验证不会通过。

虽然是17年的帖子看到这个我还是有些想说的,就当做个标记.第一,token本来是为了解决session存储问题的,如果token和session同时存在个人觉得并没有什么实际意义.尤其是当跨域的时候session基本就废了.token放cookie中标记为httpOnly是足够安全,但是也存在跨域问题.我认为,实际情况实际处理,token毕竟是要上传的,非要保证安全那在本地进行加密存储,然后对加密方式再进行加密.网站漏洞堵不住的话,放哪都没用.不管是XSS还是代理注入或劫持都能轻松拿到.