JWT 安全与刷新策略（2025）

JWT 安全与刷新策略（2025）JWT 便于跨服务鉴权，但需在签发与存储与刷新上做严格治理。一、签发与校验算法与密钥：使用强算法与安全密钥管理；拒绝 `none` 算法。声明：`iss`/`aud`/`exp`/`iat`/`sub` 等完整声明校验。二、刷新与轮换短期 Access Token + 刷新令牌；刷新令牌仅用于续期。轮换：每次刷新返回新刷新令牌并废弃旧令牌。三、受众与作用域受众（aud）：限定令牌可用服务范围，拒绝跨域滥用。作用域（scope）：最小授权，按资源与操作细分。四、存储与会话存储：服务端安全存储刷新令牌与黑名单；前端避免持久化敏感令牌。撤销与登出：支持令牌撤销与会话结束审计。注意事项关键词、分类与描述与正文一致；机制与策略为通用与可验证实践。与网关与零信任策略协同统一。