Gestohlene Access Tokens sind ein ernstzunehmendes Sicherheitsrisiko in modernen API-Architekturen – besonders wenn sie in Single-Page-Anwendungen über HTTP-Header vom Browser an den Server übermittelt werden. DPoP (Demonstrating Proof-of-Possession) adressiert dieses Risiko, indem es Access Tokens an kryptographische Schlüssel bindet und so eine zusätzliche Schutzschicht über OAuth2 legt. Die Integrität der Tokens wird damit für alle Beteiligten überprüfbar und beweisbar.

In meinem Vortrag gebe ich eine kompakte Einführung in das DPoP-Konzept und beantworte zentrale Fragen: Was genau ist DPoP und wie grenzt es sich von (m)TLS ab? Welche Voraussetzungen müssen Client und Server erfüllen? Welche Best Practices haben sich bewährt und wo liegen mögliche Stolpersteine? Anhand von Code-Beispielen zeige ich, wie DPoP in einer Single-Page-App mit Keycloak als IdP und einer weiteren API implementiert werden kann.

Du erhältst nicht nur theoretisches Wissen über Token-Binding und Replay-Schutz, sondern siehst direkt, wie einfach und effektiv DPoP in der Praxis funktioniert. Wenn du sichere API-Szenarien planst und deinen Schutz vor Token-Diebstahl erhöhen möchtest, bekommst du in diesem Talk praxisnahe Antworten.