OIDC PKCE 与刷新令牌轮换（2025）

OAuth 2.1/OIDC PKCE 与刷新令牌轮换（2025）一、授权与 PKCE授权码模式：前端发起授权，服务端交换令牌；对公开客户端强制 `PKCE`（S256）。代码验证：生成 `code_verifier` 与 `code_challenge`，校验防劫持。范围：按最小权限设置 `scope`，避免越权。二、刷新令牌与轮换刷新令牌：颁发长期刷新令牌，短期访问令牌；服务端记录令牌状态。令牌轮换：每次刷新颁发新刷新令牌并作废旧令牌（`令牌轮换`），防止重放。失效与撤销：支持主动撤销与被动过期；异常时强制重新授权。三、会话与安全会话：绑定设备/指纹与风险评估；异常时二次验证。存储：刷新令牌仅在可信端存储；加密静态与传输层。审计：记录令牌颁发/刷新/撤销与来源。四、观测与合规指标：授权成功率、刷新失败率、异常撤销数。合规：满足地区法规与留存策略；最小数据暴露。注意事项关键词（OAuth 2.1、OIDC、PKCE、刷新令牌、令牌轮换）与正文一致。分类为“安全/认证/OIDC”，不超过三级。参数与策略需在预生产演练与渗透测试中验证。