C# OWIN现有的实施问题；是否有良好的身份验证体系结构？

我是这个论坛的新手，最近我正在浏览一个现有的C#MVC api代码，其中实现了OWIN，所以，问题是访问令牌过期（20分钟后），即使客户端在服务器端或UI端积极地做一些事情，我觉得这是不正确的，令牌应该在客户端20分钟后不活动时过期，那么，如果客户端处于活动状态，是否有方法停止令牌过期

我已经看到了刷新令牌的概念，但这似乎有点棘手，我需要在客户端登录时以某种方式跟踪用户会话，因此会话即将完成20分钟，我需要使用刷新令牌触发post请求，这包括客户端的大量代码，如果我通过邮递员或windows服务做同样的事情，那么我就无法在逻辑上跟踪时间，那么OWIN有没有办法处理好这一切？因此，我不需要跟踪任何会话，OWIN将在到期后使用刷新令牌自动创建一个新的访问令牌。请务必让我知道这是否是一个良好的体系结构，如果使用刷新令牌，是否存在任何安全漏洞？还有新增的功能吗

你能告诉我是否有比OWIN更好的建筑吗

这是我的现有代码，只用于访问令牌

 public void Configuration(IAppBuilder app)
        {
            ConfigureOAuth(app);
        //Rest of code is here;
        }

        public void ConfigureOAuth(IAppBuilder app)
        {
            OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true,
                TokenEndpointPath = new PathString("/api/token"),
                AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(20),
                Provider = new AuthorizationServerProvider()
            };

            // Token Generation
            app.UseOAuthAuthorizationServer(OAuthServerOptions);
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());

        }

---

还有其他一些代码，但是这是标准的，可以在任何地方找到。

令牌是固定的和有签名的。因此，如果您更改了其中的某些内容（例如，

exp

），则需要再次签名，这将是另一个令牌。但是，您可以自由实施任何您喜欢的认证系统。此外，stackoverflow不是一个“论坛”，它是“Q&a网络”。在这方面的任何帮助，都需要专家的紧急关注。Stokens已修复并签署。因此，如果您更改了其中的某些内容（例如，

exp

），则需要再次签名，这将是另一个令牌。不过，你可以自由实施任何你喜欢的认证系统。此外，stackoverflow不是一个“论坛”，而是一个“问答网络”。在这方面的任何帮助，都需要专家的紧急关注