本文提出NetCap，一种基于数据平面能力的防御机制，旨在应对网络接入中的令牌盗窃攻击。令牌盗窃攻击通常利用网络协议或认证机制的缺陷，窃取用户的访问令牌，从而绕过身份验证并获取未授权访问。现有防御方法多集中于应用层或控制平面，存在效率低、部署复杂等问题。NetCap创新性地在数据平面实现防御，利用可编程交换机的能力，通过维护令牌状态和实时验证，在数据包转发路径上直接检测和阻止令牌滥用。具体而言，NetCap在交换机中部署轻量级状态表，记录每个令牌的合法来源IP、时间戳等属性，并对每个数据包进行令牌有效性检查。如果匹配失败或超出允许范围，则立即丢弃数据包并触发告警。实验基于P4可编程交换机原型实现，在真实网络流量和攻击模拟下测试。结果显示，NetCap能够以微秒级延迟检测并阻断多种令牌盗窃攻击（如重放、中间人、侧通道窃取），误报率低于0.1%，且对正常流量的吞吐影响小于5%。主要贡献包括：首次在数据平面实现令牌级访问控制、提出高效状态维护算法、以及公开可复现的原型系统。适合网络管理员、安全运营商以及网络设备开发者阅读。