Я создаю базовый webapp с использованием Firebase, который требует проверки подлинности и сеанса. Перейдя по документам для Firebase Auth, я решил использовать опцию адрес электронной почты/пароль для входа в Facebook.
При успешном входе в систему мы получаем token, который может быть снова использован для входа в систему, когда страница обновляется или на новой вкладке используется auth(). Но для этого нам нужно будет сохранить токен где-то на стороне клиента. Исходя из исходного кода для Firefeed, который реализует обработку авторизации и сеанса, token сохраняется в localStorage браузера пользователя.
Насколько безопасен этот подход? Поскольку данные localStorage будут видны всем, кто использует браузер. Есть ли лучшая альтернатива этому?