我正在查看此RFC https://tools.ietf.org/html/rfc7800,特别是带有非对称密钥的所有权证明[第3页],并且我试图了解是什么强制执行了实际的所有权证明。我知道演示者具有将用于对随机数进行签名的私钥,但是由于所有这些都不是在TLS层发生的,这会阻止中间的人拦截POP令牌(尚未到达收件人)并且之所以使用它,是因为无论签名的实际发送者是谁,该签名对于JWT中的公钥仍然有效。
我知道可以使用nonce来阻止重播,但是我可以在没有整个POP工作流程的情况下使用nonce,并且仍然可以阻止重播。