TLDR：将其存储在cookie中+添加一些标记。
这里是my other answer、HTTPOnly，而Secure为它增加了一层安全性。
那个应该没问题。
XSRF不应该出现在您的网站上，但如果有人被网络钓鱼抓住，您就无法真正保护网站了。
安全领域是一件大事，一个系统永远不会刀枪不入：而是尽可能地遵循最佳实践。
您可以减轻损失，但要为令牌分配一个较短的TTL，并在运行于每个客户端导航的中间件上检查它们的生存能力。
我不是安全方面的Maven，但你可能也不需要。遵循这个建议，就认为你的工作完成了。
社会工程+其他漏洞可以导致您的网站被攻破在更容易的方式。
如果您是一家需要这些严格安全措施的大型企业，那么您可能也已经花费了数百万美元来确保网络安全。

如果您的Laravel API（假设您使用Laravel作为API）和SPA（Nuxt）位于同一个域，您可以使用基于Sanctum Cookie的会话身份验证。

1.在app/Http/Kernel.php中取消注解EnsureFrontendRequestsAreStateful中间件

'api' => [
   \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
    'throttle:api',
    \Illuminate\Routing\Middleware\SubstituteBindings::class,
],

2.在.env文件中添加SANCTUM_STATEFUL_DOMAINS

SANCTUM_STATEFUL_DOMAINS=localhost:3000

3.在config/cors.php中，将支持凭证更改为true

'supports_credentials' => true,

4.在点击登录端点之前，向“sanctum/csrf-cookie”发出请求，然后向登录端点发出POST请求

// Sanctum endpoint to generate cookie
    Route::get('sanctum/csrf-cookie', function () {
        return response('OK', 204);
    });

    Route::controller(AuthController::class)->group(function () {
        Route::post('auth/login', 'login');
    });

5.在应用程序的全局axios示例上启用“withCredentials”选项

axios.defaults.withCredentials = true;