feat: add refresh cookie reader

server-rs/crates/platform-auth/README.md

@@ -20,11 +20,12 @@
 2. 新增 `AccessTokenClaimsInput` 与 `AccessTokenClaims`，把文档中冻结的 `iss/sub/sid/provider/roles/ver/phone_verified/binding_status/display_name` 映射到 Rust 结构。
 3. 新增 `sign_access_token(...)`，按 `HS256` 签发 access token。
 4. 新增 `verify_access_token(...)`，统一校验 `iss/sub/exp/iat` 与 JWT 签名。
-5. 增加单元测试，覆盖基本签发/校验、issuer 不匹配与空角色拒绝。
+5. 新增 `RefreshCookieConfig`、`RefreshCookieSameSite` 与 `read_refresh_session_token(...)`，统一 refresh cookie 读取口径。
+6. 增加单元测试，覆盖 JWT 回环、issuer 不匹配、空角色拒绝与 refresh cookie 读取。
 
 当前阶段仍未进入：
 
-1. refresh cookie 读写与轮换。
+1. refresh cookie 写入与轮换。
 2. 短信 provider 适配。
 3. 微信 OAuth 适配。
 4. `module-auth` 领域规则与数据库真相读取。
@@ -37,8 +38,11 @@
 2. `AccessTokenClaims::from_input(...)`
 3. `sign_access_token(...)`
 4. `verify_access_token(...)`
-5. `AuthProvider`
-6. `BindingStatus`
+5. `RefreshCookieConfig::new(...)`
+6. `read_refresh_session_token(...)`
+7. `AuthProvider`
+8. `BindingStatus`
+9. `RefreshCookieSameSite`
 
 ## 4. 配置口径
 
@@ -56,6 +60,8 @@
 
 1. `JWT_EXPIRES_IN` 当前兼容 `2h`、`30m`、`900` 这类简单时长格式。
 2. 当前阶段保持 `HS256`，优先保证与旧 Node 方案迁移平滑。
+3. refresh cookie 当前采用 `AUTH_REFRESH_COOKIE_NAME`、`AUTH_REFRESH_COOKIE_PATH`、`AUTH_REFRESH_COOKIE_SAME_SITE`、`AUTH_REFRESH_COOKIE_SECURE`、`AUTH_REFRESH_SESSION_TTL_DAYS`。
+4. refresh cookie 默认值与 Node 基线保持一致：`genarrative_refresh_session`、`/api/auth`、`Lax`、`false`、`30` 天。
 
 ## 5. 边界约束
 
@@ -69,3 +75,4 @@
 
 1. [../../../docs/technical/OIDC_JWT_CLAIMS_DESIGN_2026-04-21.md](../../../docs/technical/OIDC_JWT_CLAIMS_DESIGN_2026-04-21.md)
 2. [../../../docs/technical/PLATFORM_AUTH_JWT_ADAPTER_DESIGN_2026-04-21.md](../../../docs/technical/PLATFORM_AUTH_JWT_ADAPTER_DESIGN_2026-04-21.md)
+3. [../../../docs/technical/PLATFORM_AUTH_REFRESH_COOKIE_ADAPTER_DESIGN_2026-04-21.md](../../../docs/technical/PLATFORM_AUTH_REFRESH_COOKIE_ADAPTER_DESIGN_2026-04-21.md)