Uma sugestão que eu dou é não colocar tokens de sessão dentro do LocalStorage e, ao invés disto, colocar como um Cookie que tenha a flag HttpOnly, pois assim nenhum script do lado do client-side vai conseguir ler este valor e estará protegido de ser lido indevidamente por um ataque XSS.
Um exemplo de como é feito aqui no próprio TabNews:
Desconhecia essa forma mais segura de armazenar dados sensíveis de uma aplicação, já dei uma breve lida no assunto e olhei o repositório que você sugeriu, irei me aprofundar nesse assunto e com certeza aplicar nos meus próximos projetos pessoais.
Muito obrigado pela dica!!