- لطفا خارج از موضوع نظری را ارسال نکنید.

- این مورد در بحث جداگانه‌ای مطرح شده‌است: «نحوه‌ی استفاده‌ی از AutoMapper در ASP.NET Core»

- در مقدمه مطلب «ذخیره سازی اطلاعات در مرورگر توسط برنامه‌های Angular» در مورد محدودیت حجم‌های حالت‌های مختلف ذخیره سازی اطلاعات در سمت کلاینت، بیشتر توضیح داده شده‌است.

- روش پیاده سازی dynamic permission شما و قرار دادن اطلاعات آن در توکن، در این حالت بی‌مورد است. از این جهت که به نظر قصد ندارید از اطلاعات آن در سمت کلاینت استفاده کنید (محدود کردن دسترسی به صفحات یک برنامه‌ی SPA و نه یک برنامه‌ی MVC). توکن و هرچیزی که در آن است جهت کاربردهای سمت کلاینت بیشتر باید مورد استفاده قرارگیرند تا سمت سرور. این بحث JWT برای برنامه‌های Angular و کلا SPA (تک صفحه‌ای وب) بیشتر استفاده می‌شود (سمت سرور Web API خالص، سمت کاربر SPA خالص). اگر برنامه‌ی شما چنین چیزی نیست، از آن استفاده نکنید.

چون اطلاعات دسترسی به صفحات به نظر سایت MVC شما مطلقا کاربردی در سمت کلاینت ندارند، آن‌را به توکن اضافه نکنید. در عوض در متد CanUserAccess، قسمت user.HasClaim را با کوئری گرفتن از بانک اطلاعاتی جایگزین کنید.

- مثال سمت کلاینت بحث جاری در سری «احراز هویت و اعتبارسنجی کاربران در برنامه‌های Angular» عمیق‌تر بررسی شده‌است و هدف از قسمت‌های مختلف توکن آن‌را جهت استفاده‌ی در سمت کلاینت (استفاده از نقش‌ها جهت دسترسی به صفحات برنامه‌ی سمت کلاینت Angular، استفاده از تاریخ انقضای توکن جهت بررسی اعتبار آن، استفاده از نام نمایشی قرار گرفته‌ی در توکن برای نمایش آن در سمت کلاینت و غیره)، بهتر درک خواهید کرد. در سمت سرور با داشتن Id شخص، مابقی را می‌توان از بانک اطلاعاتی کوئری گرفت و نیازی به سنگین کردن توکن نیست.

- قسمت «cfg.TokenValidationParameters» در سمت سرور، کار بررسی امضای دیجیتال و سایر مشخصات امنیتی را انجام می‌دهد. بنابراین امکان دستکاری آن در سمت کاربر نیست. اگر دستکاری شود، امضای دیجیتال آن در سمت سرور برگشت می‌خورد و در قسمت cfg.Events لاگ خواهد شد.

- در حافظه‌ی سرور چیزی را نباید ذخیره کنید. سمت سرور برنامه‌های وب، stateless و یا بدون حالت است (یعنی قرار نیست در آن، پس از پایان درخواست، اطلاعاتی از کاربر در حافظه باقی بماند؛ بدلیل محدودیت منابع و مسایل امنیتی). اما این توکن‌ها در سمت کاربر عموما توسط روش local storage ذخیره می‌شوند و هربار از سرور واکشی نمی‌شوند. این توکن‌ها فقط هربار به ازای هر درخواست به منابع محافظت شده‌ی سمت سرور، «باید» از کلاینت به سمت سرور ارسال شوند. در غیراینصورت درخواست بدون توکن، یک درخواست معمولی اعتبارسنجی نشده‌است و ذخیره سازی اطلاعات در حافظه‌ی سرور عملا بی‌معنا است. اطلاعات بیشتر در مورد ذخیره سازی سمت کلاینت: «معرفی Local Storage و چند کتابخانه مرتبط» و «ذخیره سازی اطلاعات در مرورگر توسط برنامه‌های Angular»  

- در نگارش‌های جدید ASP.NET Core، بسته‌ی بومی سازی آن، خطاهای یافت نشدن کلیدها را توسط ILogger آن لاگ می‌کند (و هیچ استثنایی را مشاهده نخواهید کرد). به همین جهت لاگ کردن را در برنامه‌ی خود فعال کنید و خروجی آن‌را جهت یافتن عباراتی مانند search for بررسی کنید (دقیقا عنوان می‌کند که کجاها را برای یافتن معادل‌ها بررسی کرده‌است و چیزی یافت نشده).

- برای مثال اگر از قالب پیش‌فرض ASP.NET Core 2.1 استفاده می‌کنید، لاگ کردن در کنسول و همچنین دیباگ آن فعال است (بدون نیاز به تنظیم اضافه‌تری). در اینجا برنامه را در حالت dotnet watch run اجرا کنید (این دستور را در ریشه‌ی پروژه اجرا کنید) و سپس در کنسول جاری، عبارات لاگ شده را بررسی کنید. یا پنجره‌ی debug در ویژوال استودیو نیز همینکار را انجام می‌دهد.

بررسی لاگ‌های برنامه جزو الزامات کار با برنامه‌های NET Core. است. در اینجا کمتر استثناءها را مشاهده می‌کنید و چون یک فریم ورک توکار Logging را به همراه دارد، همه‌جا از آن برای گزارش مشکلات، در پشت صحنه استفاده می‌شود.

یک نکته‌ی تکمیلی

قالبی برای یک فایل وب‌کانفیگ امن بر اساس آخرین تغییرات ASP.NET و IIS در اینجا « server-configs-iis »