بهترین راه برای ذخیره api token

سلام وقتتون بخیر.

بهترین و امن‌ترین راه به نظر من کوکی http only هست.
روش کارش هم این شکلیه که شما کلا توی فرانت‌اند نمی‌تونید دسترسی داشته باشید به این توکن ( اگر لایبرری مخرب یا .. ) داشته باشید دیگه نمی‌تونه به توکن‌ها دسترسی پیدا کنه و حتی خودتون با استفاده از جاوااسکریپت سمت کلاینت نمی‌تونید به توکن دسترسی پیدا کنید. ولی توی axios یا fetch یا ... یه آپشن withCredentials وجود داره که اگر مقدار این رو true بزارید کروم خودش کوکی‌های httpOnly رو هم با ریکوئست می‌فرسته و به راحتی سمت بک‌اند توکن به سمت سرور می‌رسه و می‌تونید استفاده کنید.

شاید خیلی خوب توضیح نداده باشم یه سرچی بکنید بهتر متوجه می‌شید. البته این رو هم اضافه کنم که برای ذخیره کردن کوکی httpOnly هم تا اونجایی که من می‌دونم نمی‌تونید از جاوااسکریپت سمت کلاینت استفاده کنید ولی اگر nextJs یا ... باشید این کار براتون راحته.

ذخیره کردن در localStorage رو من اصلا پیشنهاد نمی‌کنم چون حتی تاریخ انقضا هم نداره و از نظر امنیتی واقعا خوب نیست.

اگر می‌خواید دردسر‌های httpOnly رو نکشید به نظر من کوکی عادی سمت فرانت با یه اکسپایر دیت مشخص ذخیره کنید.