Uma sugestão que eu dou é **não colocar tokens de sessão dentro do LocalStorage** e, ao invés disto, colocar como um **Cookie** que tenha a flag `HttpOnly`, pois assim nenhum script do lado do client-side vai conseguir ler este valor e estará protegido de ser lido indevidamente por um ataque `XSS`.

Um exemplo de como é feito aqui no próprio TabNews:

https://github.com/filipedeschamps/tabnews.com.br/blob/586eefd30b1f979c9f77c7a5ffc163687454bee7/models/session.js#L23

Desconhecia essa forma mais segura de armazenar dados sensíveis de uma aplicação, já dei uma breve lida no assunto e olhei o repositório que você sugeriu, irei me aprofundar nesse assunto e com certeza aplicar nos meus próximos projetos pessoais.

Muito obrigado pela dica!!

Uma sugestão que eu dou é não colocar tokens de sessão dentro do LocalStorage e, ao invés disto, colocar como um Cookie que tenha a flag HttpOnly, pois assim nenhum script do lado do clie...