HTTP DPoP/PoP 令牌（绑定客户端与重放防护）

HTTP DPoP/PoP 令牌（绑定客户端与重放防护）概述DPoP（Demonstrating Proof-of-Possession）通过在请求时签名证明客户端持有密钥，将令牌与客户端绑定，提升安全性并降低重放风险。关键实践与参数客户端密钥：生成并注册 JWK；令牌包含 `cnf`/`jkt` 绑定。请求签名：每次请求携带 `DPoP` 头，包含方法、URL、时间戳与签名。防重放：验证时间窗与 JTI 去重；对过期或重复签名拒绝。验证方法模拟令牌窃取后请求；绑定缺失应被拒绝。压测签名与验证开销；观察延迟与吞吐。与网关/反向代理协同，确保头部传递与校验。注意事项令牌续期与密钥轮换策略需明确；缩短暴露窗口。兼容未支持 DPoP 的客户端；提供回退策略。与 CORS/SameSite 策略一致；避免绕过。