OAuth2 DPoP与Token绑定：防重放与转发攻击

OAuth2 DPoP与Token绑定：防重放与转发攻击概览DPoP 通过客户端在每次请求时提交签名证明，服务端验证证明与令牌中的绑定信息是否一致。适合前后端分离与移动端场景，加强令牌被窃后的攻击面控制。技术参数（已验证）DPoP 头：`DPoP: <JWT>`，负载包含 `htm`（方法）、`htu`（目标 URI）、`jti`（唯一标识）、`iat`（签发时间）。令牌绑定：令牌含 `cnf` 声明，携带 `jkt`（证明密钥指纹）；服务端验证 `jkt` 与证明对应密钥一致。时效与重放：服务端校验 `iat` 与窗口并使用 `jti` 去重；结合 TLS 保障传输安全。适配流程：授权服务器在令牌签发时纳入 `cnf.jkt`；资源服务器验证 DPoP 头与令牌绑定。兼容与例外：与 MTLS 有互补关系；对跨域与重定向场景需谨慎处理 `htu` 与派生请求。实战清单为前端或移动客户端生成并持久化密钥对；令牌签发纳入 `cnf.jkt`。在网关层统一 DPoP 验证与速率限制；记录失败与重放尝试。建立密钥更新与撤销流程；对异常路由与代理场景进行专门测试。