In modernen API-Architekturen stellen gestohlene Token eine der größten Sicherheitslücken dar, insbesondere wenn sie in Single-Page-Anwendungen in HTTP-Headern vom Browser an den Server übermittelt werden. DPoP (Demonstrating Proof-of-Possession) adressiert dieses Risiko, indem es Access Tokens an kryptographische Schlüssel bindet und so eine zusätzliche Schutzschicht über OAuth2 legt und die Integrität der Tokens für alle Beteiligten überprüfbar und beweisbar macht.

In meinem Vortrag gebe ich eine kompakte Einführung in das DPoP-Konzept und beantworte zentrale Fragen: Was genau ist DPoP und wie unterscheidet es sich von (m)TLS? Welche Voraussetzungen müssen Client und Server erfüllen, um DPoP nutzen zu können? Welche Best Practices haben sich in der Praxis bewährt und wo liegen mögliche Stolpersteine? Anhand einer Live-Demo zeige ich, wie DPoP in einer Single-Page-App mit Keycloak und einer weiteren API genutzt und implementiert werden kann.

Du erhältst nicht nur theoretisches Wissen über Token-Binding und Replay-Schutz, sondern siehst direkt, wie einfach und effektiv DPoP in der Praxis funktioniert. Wer sichere API-Szenarien plant und seinen Schutz vor Token-Diebstahl erhöhen möchte, erhält in diesem Talk praxisnahe Antworten und eine Live-Implementierung zum Mitnehmen.