ASP.NET Core では一般的にクッキー認証をベースとして使いつつ、その上に Twitter や Facebook などの外部プロバイダーを組み合わせて認証を実装しています。API 向けのように JWT を直接扱う場合以外は、基本はクッキーが有効になっているはずです。 デフォルトでは認証クッキーはステートレスになっていて、必要なクレームは全て暗号化されてクッキーに含まれるようになっています。暗号キーのみ共有すればバックエンドで状態を持つ必要はありませんが、認証クッキーをログアウト時に無効化することは出来ず、基本はクッキーの削除となります。 この辺りの挙動は JWT と同じで明示的に無効化は出来ないので、必要に応じてバックエンド側で何らかの状態を保持してあげる必要があります。というわけで 2 パターンを試しました。 クッキーを使った認証は以下のドキュメントを参照してください。これをベー