---

title: OAuth2 DPoP：证明持有者令牌的客户端绑定

keywords:

• DPoP
• 证明持有者
• 绑定客户端
• JWK
• 重放防护

description: 通过 DPoP 为访问令牌绑定客户端密钥，降低令牌盗用与重放风险，增强 OAuth2 安全性。

categories:

• 应用软件
• 下载工具

---

OAuth2 DPoP：证明持有者令牌的客户端绑定

概览

DPoP 要求客户端对请求进行签名并携带公钥指纹，服务端验证令牌与签名绑定关系，从而只允许持有对应私钥的客户端使用令牌。

技术参数（已验证）

• 令牌绑定：令牌内含 cnf/jkt 指纹，服务端验证与请求签名匹配。
• 签名头：DPoP 头携带 JWS，包含方法、URL 与时间戳，防重放。
• 密钥管理：客户端维护 JWK；服务端校验并限制时钟与窗口。

实战清单

• 为高风险接口启用 DPoP 并结合短期令牌与刷新策略。
• 统一网关校验与错误处理，记录审计。