OAUTH-DPOP
Token OAuth lié à clé publique client.
Définition
DPoP introduit DPoP-Proof JWT signé par clé client à chaque requête, contenant htu (URL), htm (méthode), iat, jti. Le résolveur vérifie binding au token via jkt header. Adopté par OpenID Connect FAPI 2.0 (financial-grade API).
Origine
Draft IETF OAuth WG depuis 2019 ; RFC 9449 publiée septembre 2023.
Exemple en contexte
Une banque émet un access token DPoP-bound — même si exfiltré, il est inutilisable sans la clé privée client.
Termes liés
- OAuth 2.1 — context d'integration.