JWT 安全与刷新策略（2025）

# JWT 安全与刷新策略（2025） JWT 便于跨服务鉴权，但需在签发与存储与刷新上做严格治理。 ## 一、签发与校验 - 算法与密钥：使用强算法与安全密钥管理；拒绝 `none` 算法。 - 声明：`iss`/`aud`/`exp`/`iat`/`sub` 等完整声明校验。 ## 二、刷新与轮换 - 短期 Access Token + 刷新令牌；刷新令牌仅用于续期。 - 轮换：每次刷新返回新刷新令牌并废弃旧令牌。 ## 三、受众与作用域 - 受众（aud）：限定令牌可用服务范围，拒绝跨域滥用。 - 作用域（scope）：最小授权，按资源与操作细分。 ## 四、存储与会话 - 存储：服务端安全存储刷新令牌与黑名单；前端避免持久化敏感令牌。 - 撤销与登出：支持令牌撤销与会话结束审计。 ## 注意事项 - 关键词、分类与描述与正文一致；机制与策略为通用与可验证实践。 - 与网关与零信任策略协同统一。