OAuth2 DPoP：证明持有者令牌的客户端绑定

OAuth2 DPoP：证明持有者令牌的客户端绑定概览DPoP 要求客户端对请求进行签名并携带公钥指纹，服务端验证令牌与签名绑定关系，从而只允许持有对应私钥的客户端使用令牌。技术参数（已验证）令牌绑定：令牌内含 `cnf`/`jkt` 指纹，服务端验证与请求签名匹配。签名头：`DPoP` 头携带 JWS，包含方法、URL 与时间戳，防重放。密钥管理：客户端维护 JWK；服务端校验并限制时钟与窗口。实战清单为高风险接口启用 DPoP 并结合短期令牌与刷新策略。统一网关校验与错误处理，记录审计。