---

title: OAuth2 DPoP与Token绑定：防重放与转发攻击

keywords:

• DPoP
• Token Binding
• cnf
• jkt
• 防重放

description: 利用 DPoP 证明将访问令牌与客户端密钥绑定，降低令牌被窃取后的转发与重放风险。

categories:

• 文章资讯
• 编程技术

---

OAuth2 DPoP与Token绑定：防重放与转发攻击

概览

• DPoP 通过客户端在每次请求时提交签名证明，服务端验证证明与令牌中的绑定信息是否一致。
• 适合前后端分离与移动端场景，加强令牌被窃后的攻击面控制。

技术参数（已验证）

• DPoP 头：DPoP: <JWT>，负载包含 htm（方法）、htu（目标 URI）、jti（唯一标识）、iat（签发时间）。
• 令牌绑定：令牌含 cnf 声明，携带 jkt（证明密钥指纹）；服务端验证 jkt 与证明对应密钥一致。
• 时效与重放：服务端校验 iat 与窗口并使用 jti 去重；结合 TLS 保障传输安全。
• 适配流程：授权服务器在令牌签发时纳入 cnf.jkt；资源服务器验证 DPoP 头与令牌绑定。
• 兼容与例外：与 MTLS 有互补关系；对跨域与重定向场景需谨慎处理 htu 与派生请求。

实战清单

• 为前端或移动客户端生成并持久化密钥对；令牌签发纳入 cnf.jkt。
• 在网关层统一 DPoP 验证与速率限制；记录失败与重放尝试。
• 建立密钥更新与撤销流程；对异常路由与代理场景进行专门测试。