我建立使用火力地堡，需要认证和会话处理一个基本的web应用。 渡过了文档的火力地堡验证，我决定使用电子邮件/密码，通过Facebook登录选项。

成功登录后，我们得到了一个token ，可以在页面刷新时，或者在一个新的使用标签再次被用于记录auth() 但是，对于我们需要保存在某个地方令牌上的客户端。 通过走出去的Firefeed源代码，它实现身份验证和会话处理，该token保存在localStorage用户的浏览器。

如何安全是这种做法？ 由于localStorage数据将是使用浏览器的任何人都可见。 是否有这个更好的选择吗？

通过简单登录返回的记号是有时间限制的，用户特定的标记。 如果妥协，他们将在最坏的情况允许攻击者冒充该用户进行的有限的一段时间。 它们不包含用户的密码或其它敏感数据。

localStorage的只能通过Java脚本从它被保存在主机域名进行访问，所以你访问将无权访问它（假设浏览器或网站上的其他网站都没有被攻破，但如果他们有，全盘皆输...）

所以，简单的答案，这种做法是相当安全的。