Не искам потребителите да въвеждат паролите си всеки път и не искам да съхранявам паролите локално. Когато потребителят за първи път ми изпрати своето потребителско име и парола, планирам да изпратя обратно някаква хеширана версия на неговата парола (хеш на парола+сол), която ще бъде поставена в локално хранилище, за да се използва за разрешаване на последващи извиквания към нашите уеб услуги.
Наясно съм, че ако моето локално хранилище е компрометирано (напр. откраднат телефон), крадецът ще може да открадне токена и да направи извиквания на уеб услуга като потребител, но поне няма да разполага с паролата на потребителя.
Има ли други уязвимости, които пренебрегвам? Има ли причина да го поставите в бисквитка вместо в localstorage?