我有一个NET WebApi核心项目,通过 OAuth2 身份验证 . 还有一个Web界面 . 用户发送登录名/密码并接收 access_token 和 refresh_token . 问题是在客户端上存储 refresh_token 的安全位置在哪里?如果我们将令牌存储在浏览器的 LocalStorage 中,则任何有权访问浏览器的用户都可以窃取 refresh_token . 怎么安全呢?也就是说,浏览器被认为是客户端的所有者,只有他才能访问(理论上)?