Proof of Possession 2 - notes.kekeho.net

- 従来、アクセストークンが盗まれたらオワタ状態だった - 鉄道の切符のように、落としたものを他の人が拾ったら使えてしまう - アクセストークンを提示するときに、当人性の確認を行う - 飛行機のチケットみたい🛫 - 標準 - [[MLTS]]: [[RFC 8705]] - アクセストークンとクライアント証明書を紐付ける - 証明書のFingerprintをアクセストークンと紐づけ - [[DPoP]]([[RFC9449]]) - クライアントが公開鍵と秘密鍵のペアを作る - ペイロードに公開鍵を含め、秘密鍵で署名(DPoP proof JWT) - アクセストークンを生成。アクセストークンと公開鍵を紐づけ。 - クライアントは、APIにアクセスするたびにペイロードに公開鍵をくっつけ、秘密鍵で署名 - (公開鍵に対応している秘密鍵を所有していることを証明している) 参考 ![](https://www.youtube.com/watch?v=ampSEBW6vKM)