JSON Web Token(JWT) 儲存在前端那邊比較好?

1. 不建議 JSON Web Token(JWT) 儲存在 localStorage/sessionStorage，透過 JavaScript XSS 攻擊可以輕易存取到。

2. 可儲存 JWT 在 HttpOnly cookie ，一般來說如果後端有用一些簡單框架，都有防止 Cross-site request forgery (CSRF) 的攻擊方式來存取 cookie 資訊。

ref: Where to Store your JWTs – Cookies vs HTML5 Web Storage

ref: 以 JSON Web Token 替代傳統 Token