OAuth2 DPoP与Token绑定：防重放与转发攻击

# OAuth2 DPoP与Token绑定：防重放与转发攻击 ## 概览 - DPoP 通过客户端在每次请求时提交签名证明，服务端验证证明与令牌中的绑定信息是否一致。 - 适合前后端分离与移动端场景，加强令牌被窃后的攻击面控制。 ## 技术参数（已验证） - DPoP 头：`DPoP: `，负载包含 `htm`（方法）、`htu`（目标 URI）、`jti`（唯一标识）、`iat`（签发时间）。 - 令牌绑定：令牌含 `cnf` 声明，携带 `jkt`（证明密钥指纹）；服务端验证 `jkt` 与证明对应密钥一致。 - 时效与重放：服务端校验 `iat` 与窗口并使用 `jti` 去重；结合 TLS 保障传输安全。 - 适配流程：授权服务器在令牌签发时纳入 `cnf.jkt`；资源服务器验证 DPoP 头与令牌绑定。 - 兼容与例外：与 MTLS 有互补关系；对跨域与重定向场景需谨慎处理 `htu` 与派生请求。 ## 实战清单 - 为前端或移动客户端生成并持久化密钥对；令牌签发纳入 `cnf.jkt`。 - 在网关层统一 DPoP 验证与速率限制；记录失败与重放尝试。 - 建立密钥更新与撤销流程；对异常路由与代理场景进行专门测试。