在ASP.NET Core中构建安全可靠的认证体系,需兼顾JWT的短期访问控制与长期会话维持能力。短命AccessToken(通常≤15分钟)保障API调用安全性,长命RefreshToken(如7天)则通过HttpOnly Cookie安全存储,杜绝XSS窃取风险。结合数据库持久化存储RefreshToken、强制令牌轮换(每次刷新均作废旧Token并签发新Token)及实时吊销机制,可有效防御重放、泄露与越权访问。该方案在不牺牲用户体验的前提下,显著提升系统整体安全性,适用于高要求生产环境。
JWT安全刷新令牌HttpOnly令牌轮换令牌吊销
2026-02-28