Какие у Вкусвилла есть telegram-боты и зачем они нужны

Да, для корп бота получить тел не проблема. Мы делаем по реферальной ссылке.
Спасибо

Какие у Вкусвилла есть telegram-боты и зачем они нужны

А как вы авторизуете пользователей в корпоративых ботах?

О хранении JWT токенов в браузерах

Если очень боитесь об этой ситуации, попробуйте использовать базу данных в браузере IndexDB.

А что вы имели ввиду в этом совете?

О хранении JWT токенов в браузерах

А какая разница, если плагин может прочитать данные из IndexedDB и отправить куда-то? Точно так же как и с localStorage. То есть чем IndexedDB безопаснее localStorage в плане безопасности?

О хранении JWT токенов в браузерах

Content scripts работают в контексте страницы, они могут например, вставить script tag в DOM. Код в этом теге будет иметь доступ к window без ограничений

О хранении JWT токенов в браузерах

у браузерных расширений есть developer.chrome.com/extensions/content_scripts, не скажу за прям сейчас, но они могли до очень недавнего времени получить доступ к любым локальным хранилищам точно такой же как и у вашего приложения.

О хранении JWT токенов в браузерах

А чем использование IndexedDB отличается от localStorage?

О хранении JWT токенов в браузерах

Это верно. У меня хранится в замыкании и там и там. Когда sw умирает, он переспрашивает у приложения. Подделать запрос от sw нельзя, подделать ответ можно, но в этом мало смысла.
Затем sw перехватывает запросы с api прикрепляет к ним accessToken и отправляет на api. Fetch на sw нельзя подделать.
+ немного магии на проверки подлиности.

О хранении JWT токенов в браузерах

в замыкании как переменную. Куки лучше, конечно, но у меня случай когда их нельзя использовать.

О хранении JWT токенов в браузерах

Можно в замыкании, но в service worker. Ни плагины, ни сторонний код со страницы не смогут его подделать