token储存和安全问题

1、token存放在localStorage、cookie（http-only）或者内存中；
2、OAuth加密传送；
3、账号密码登录后生成一个随机token，一段时间内可用，绑定userId、常用ip等（不是常用ip时重新登录）；
4、用token时有时间限制和功能限制（接口权限分散）；
5、使用https；
6、配合使用极验、指纹、人脸等工具；

期间看到一个段子：“建议用脑电波登录”
------希望早日实现