你的问题核心在于手动构造授权流程时，只完成了授权码（code）的获取，却没有执行用code交换refresh_token的关键步骤——refresh_token并不是授权端点（authorize endpoint）直接返回的，而是需要拿着授权码去令牌端点（token endpoint）交换才能得到。

两种登录流程的差异 #

• 当你用[Authorize]特性触发登录时，ASP.NET Core的OpenIdConnect中间件会自动帮你走完完整的OIDC流程：
  1. 自动发起授权请求到IdentityServer
  2. 获取到授权码（code）后，自动调用token端点，用code交换得到access_token、id_token和refresh_token
  3. 最后把这些令牌存储到Cookie中（因为你配置了SaveTokens = true）
• 但你手动构造授权URL的方式，只执行了第一步和第二步的前半部分（拿到code），完全跳过了调用token端点交换令牌的步骤，所以回调方法里自然拿不到refresh_token。

解决方案 #

方案1：手动补充令牌交换步骤

在你的Callback方法中，拿到code后，主动调用IdentityServer的token端点来获取refresh_token：

public async Task<IActionResult> Callback()
{
    var code = Request.Form["code"];
    // ... 其他参数获取（如state、id_token等）

    if (!string.IsNullOrEmpty(code))
    {
        // 获取IdentityServer的发现文档
        var discoveryClient = new DiscoveryClient(Configuration["auth:oidc:authority"]);
        var disco = await discoveryClient.GetAsync();

        // 构造令牌请求客户端
        var tokenClient = new TokenClient(disco.TokenEndpoint, "mvc", "secret");
        // 用授权码交换令牌（redirect_uri必须和授权请求中的一致）
        var tokenResponse = await tokenClient.RequestAuthorizationCodeAsync(
            code, 
            "http://localhost:7002/Account/callback"
        );

        if (!tokenResponse.IsError)
        {
            var refreshToken = tokenResponse.RefreshToken; // 这里就能拿到有效的refresh_token了
            var accessToken = tokenResponse.AccessToken;
            // 可参考OpenIdConnect中间件的逻辑，将令牌存储到Cookie或其他持久化位置
        }
        else
        {
            // 处理令牌交换错误，比如记录日志、返回错误页面
        }
    }

    // ... 后续业务逻辑
}

方案2：尽量使用OpenIdConnect中间件的原生流程

手动构造授权URL容易遗漏OIDC流程的关键细节，建议尽量依赖框架的[Authorize]特性或HttpContext.ChallengeAsync("oidc")方法来触发登录，让中间件自动处理所有流程，这样能避免手动实现带来的错误。

额外注意点 #

• 你的IdentityServer Client配置和MVC客户端配置都是正确的（AllowOfflineAccess=true、scope包含offline_access），这部分无需调整。
• 手动构造授权URL时，responseType使用code id_token（标准Hybrid模式）即可，不需要额外加token，这不会影响后续获取refresh_token。

内容的提问来源于stack exchange，提问作者mrnewrochelle