我已经使用自定义的JWTProvider实施了ASPNET.Identity。但是,与Identity中内置的常规令牌承载人相比,使用JWT有意义吗?这会增加安全性吗?它只是为应用程序增加了更多复杂性吗?
更新 在使用Oauth令牌提供程序与使用自定义JWTProvider方面,这是否会带来额外的安全性?
我已经使用自定义的JWTProvider实施了ASPNET.Identity。但是,与Identity中内置的常规令牌承载人相比,使用JWT有意义吗?这会增加安全性吗?它只是为应用程序增加了更多复杂性吗?
更新 在使用Oauth令牌提供程序与使用自定义JWTProvider方面,这是否会带来额外的安全性?
从 XSRF/CSRF
的角度来看,两者有很大的不同。
在 OAuth 中,XSRF
令牌始终会在服务器的每个响应头中发送到客户端。无论 CSRF
令牌是否在 JWT 令牌中发送都没有关系。因为 CSRF
令牌本身就是安全的。因此,在 JWT 中发送 CSRF 令牌是不必要的。