Здравствуйте, Stalker., Вы писали:

S>Есть-ли принципиальная разница между хранением данных в local storage и переменной в коде? Требуется для хранения токена, стандартной рекомендацией является не хранить токены в local storage т.к. его можно увести XSS атакой, но если сохранить его в переменную (более точнее — экземпляр класса аутентификации, который имеет паблик проперти со значением токена, (typescript)) то можно-ли него украсть XSS атакой?

localStorage сохраняется между перезапусками браузера, а переменная уничтожится просто после перезагрузки страницы.

Чтобы увод токена не был проблемой ( его и из переменной можно увести, если что), то его время жизни должно быть маленьким. А потом использовать refresh token, шифрование, двухфацторная аутенфикация. Но эо отдельная тема.
Поищи в сети jwt handbook — это бесплатно.