我正在使用httpclient从ASP.NET MVC中消费JWT令牌

Question

代币应该在哪里保存在服务器端会话上或作为客户端浏览器存储在cookie中？我正在使用httpclient消耗而不是AJAX。

Answer 1

如果您与令牌服务器协商的JWT令牌是特定于客户端的（例如：使用客户端凭据流的OIDC客户端的访问令牌），您可以安全地将其存储在缓存中（可以是服务器端存储器缓存或任何类型分布式缓存）。无需将其保存在用户的身份验证cookie中。

如果JWT令牌是用户特定的（例如：用户在交互式登录流程中获得的JWT访问令牌，例如MVC应用程序的OIDC Hybrid Flow），那么最好的方法就是将其保存为用户身份验证的一部分。曲奇饼。这比将其保存在服务器端会话中要好得多，因为您避免使用服务器端的亲和力，并且您的系统将无状态并能够更好地缩放。

因此，总结：

• 在服务器端缓存中保存客户端特定的访问令牌（例如：内存缓存或服务器应用程序实例之间共享的分布式缓存）
• 保存在用户身份验证cookie中的用户特定访问令牌。避免使用任何服务器端会话状态，以便您获得一项无端服务，并避免使用登录用户的服务器亲和力