OAuth DPoP detail
RFC 9449 token-binding application layer.
Définition
DPoP utilise header HTTP DPoP avec JWT signé qui inclut htm (HTTP method), htu (HTTP URI), iat (timestamp), jti (unique ID), public key in JWK header. Le authorization server émet access token contenant cnf (confirmation) avec thumbprint de la clé publique, lié au DPoP proof. RS valide le JWT DPoP à chaque requête.
Origine
IETF OAuth WG, draft 2019, RFC 9449 publié septembre 2023.
Usage
Adopté FAPI 2.0, banks Open Banking (UK Open Banking 4.0, FAPI 2.0 implementations). Alternative legacy à mTLS Sender-Constrained Tokens.
Termes liés
- OAuth 2.0 — standard parent.
- FAPI 2.0 — cas usage flagship.
- mTLS Sender-Constrained — alternative.