سلام استاد بهتر نیست برای auth ما سیستم رو به صورت accessToken , refreshtoken یا اینکه از session استفاده کنیم برای این مورد من فکر میکنم که ذخیره کردن توکن توی localStorage برای حملات xss سیستم رو اسیب پذیر میکنه همچنین من فکر میکنم توی next ما این قابلیت رو خیلی بهتر بتونیم پیاده کنیم
سلام خدمت شما. البته اینجا هدف به صورت آموزشی بوده و بسته به کیس میشه راه های دیگه ای رو هم پیاده سازی کرد. در مورد XSS هم باید بگم اگر این اتفاق بیفته واقعا فرقی نمیکنه چه داده ها در سمت مرورگر ذخیره شده باشه به جز کوکی های http only .