従来、アクセストークンが盗まれたらオワタ状態だった 鉄道の切符のように、落としたものを他の人が拾ったら使えてしまう アクセストークンを提示するときに、当人性の確認を行う 飛行機のチケットみたい🛫 標準 MLTS: RFC 8705 アクセストークンとクライアント証明書を紐付ける 証明書のFingerprintをアクセストークンと紐づけ [DPoP] クライアントが公開鍵と秘密鍵のペアを作る ペイロードに公開鍵を含め、秘密鍵で署名(DPoP proof JWT) アクセストークンを生成。アクセストークンと公開鍵を紐づけ。 クライアントは、APIにアクセスするたびにペイロードに公開鍵をくっつけ、秘密鍵で署名 (公開鍵に対応している秘密鍵を所有していることを証明している) 参考