Ciao a tutti,
la mia è più una domanda teorica che sul codice: stiamo estendendo il sistema di autenticazione affinchè consenta le operazioni di login/logout senza salti pagina.
Abbiamo una applicazione web che funge da Identity Provider ed un FrontEnd da sui ci si logga.
Siamo riusciti ad implementare un po' tutte le varie componenti(con alcune cose da rivedere e sistemare ma l'accrocco "gira"). Essendo due applicazione distinte abbiamo abilitato le CORS e per evitare attacchi CSRF nell e chiamate POST aggiungiamo l'antiforgerytoken.
Ora, essendo in pratica una SPA, una volta che l'utente si logga non c'è salto di pagina o caricamento, semplicemente vengono mostrati/nascosti differenti div sulla pagina; questo però causa un side effect: ossia l'antiforgerytoken che ho generato sul caricamento della pagina, una volta eseguito il login non è più valido per le altre chiamate (l'errore specifico è il seguente: "The provided anti-forgery token was meant for a different claims-based user than the current user." ).

L'errore è chiaro, il token inizialmente viene generato per un principal anonimo, ed una volta che si logga non lo è più. Ma la domanda è: ok, ma io che faccio ora???
Può aver senso ricaricare la pagina? o inviare un nuovo token come risposta alla login?

Sergio