Token guardado en localStorage:
⚠️ localStorage es útil durante el desarrollo, pero no es seguro en producción. Lo correcto es que el servidor devuelva el JWT en una cookie httpOnly.