我已经使用自定义JWTProvider实现了ASPNET.Identity。然而,是否有一点使用JWT与ASPNET.Identity而不是在身份中的常规令牌承载中烘焙?这会增加安全性吗?它只会增加应用程序的复杂性吗?
更新 在使用Oauth令牌提供程序与自定义JWTProvider方面。这会增加你的安全性吗?
答案 0 :(得分:2)
两者在XSRF/CSRF方面都非常不同。
如果OAuth XSRF令牌始终在服务器的每个响应头中发送给客户端。无关紧要,CSRF令牌是否在JWT令牌中发送。因为CSRF令牌是自己保护的。因此,在JWT中发送CSRF令牌是不必要的。