OAuth2 DPoP：证明持有者令牌的客户端绑定

--- title: OAuth2 DPoP：证明持有者令牌的客户端绑定 keywords: - DPoP - 证明持有者 - 绑定客户端 - JWK - 重放防护 description: 通过 DPoP 为访问令牌绑定客户端密钥，降低令牌盗用与重放风险，增强 OAuth2 安全性。 categories: - 应用软件 - 下载工具 --- # OAuth2 DPoP：证明持有者令牌的客户端绑定 ## 概览 DPoP 要求客户端对请求进行签名并携带公钥指纹，服务端验证令牌与签名绑定关系，从而只允许持有对应私钥的客户端使用令牌。 ## 技术参数（已验证） - 令牌绑定：令牌内含 `cnf`/`jkt` 指纹，服务端验证与请求签名匹配。 - 签名头：`DPoP` 头携带 JWS，包含方法、URL 与时间戳，防重放。 - 密钥管理：客户端维护 JWK；服务端校验并限制时钟与窗口。 ## 实战清单 - 为高风险接口启用 DPoP 并结合短期令牌与刷新策略。 - 统一网关校验与错误处理，记录审计。