當我們拿到 Firebase 的 idToken 後，下一個問題就是 ——「要放哪裡？」
前端有三個常見選擇：

我們這邊會先用最容易上手的方式 👉 LocalStorage 實作
後面再告訴你為什麼正式環境建議改用 Cookie。

LocalStorage 存取 Token（開發最快）

• 儲存 Token

export const saveToken = (token) => {
  localStorage.setItem("idToken", token);
};

• 讀取 Token

export const getToken = () => {
  return localStorage.getItem("idToken");
};

• 移除 Token（登出用）

export const removeToken = () => {
  localStorage.removeItem("idToken");
};

放進登入流程（只示範概念）

import { saveToken } from "./utils/tokenStorage";
import { getAuth, signInWithEmailAndPassword } from "firebase/auth";

export const login = async (email, password) => {
  const auth = getAuth();
  const result = await signInWithEmailAndPassword(auth, email, password);
  const token = await result.user.getIdToken();
  saveToken(token);
  return result.user;
};

丟到 /auth/verify 時從 localStorage 撈

export const verifyWithStoredToken = async () => {
  const token = getToken();
  if (!token) throw new Error("沒有 Token");

  const res = await fetch("/auth/verify", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify({ idToken: token }),
  });

  if (!res.ok) {
    removeToken(); // 避免無效 Token 留著
    throw new Error("驗證失敗");
  }

  return res.json();
};

LocalStorage 的缺點（正式環境不推薦）

• ❌ 容易被 XSS 拿走 Token（任何能執行 JS 的漏洞都能讀到它）
• ❌ 不能加 HttpOnly、不能防止惡意腳本偷走
• ❌ 如果被盜，就能冒用你的身分一直打 API

所以在「開發階段」可以用、但上線務必要換方式。