Architektur & SicherheitArchitektur & Sicherheit

Diebstahlschutz für Deine Tokens in SPAs mit DPoP (Demonstrated Proof-of-Possession)

Authentifizierung
Autorisierung
dpop
OAuth
OIDC
spa
token

Abstract


Thu 12:15 - 13:00 Uhr | 2026

In modernen API-Architekturen stellen gestohlene Token eine der größten Sicherheitslücken dar, insbesondere wenn sie in Single-Page-Anwendungen in HTTP-Headern vom Browser an den Server übermittelt werden. DPoP (Demonstrating Proof-of-Possession) adressiert dieses Risiko, indem es Access Tokens an kryptographische Schlüssel bindet und so eine zusätzliche Schutzschicht über OAuth2 legt und die Integrität der Tokens für alle Beteiligten überprüfbar und beweisbar macht.

In meinem Vortrag gebe ich eine kompakte Einführung in das DPoP-Konzept und beantworte zentrale Fragen: Was genau ist DPoP und wie unterscheidet es sich von (m)TLS? Welche Voraussetzungen müssen Client und Server erfüllen, um DPoP nutzen zu können? Welche Best Practices haben sich in der Praxis bewährt und wo liegen mögliche Stolpersteine? Anhand Code-Beispielen zeige ich, wie DPoP in einer Single-Page-App mit Keycloak als IdP und einer weiteren API genutzt und implementiert werden kann.

Du erhältst nicht nur theoretisches Wissen über Token-Binding und Replay-Schutz, sondern siehst direkt, wie einfach und effektiv DPoP in der Praxis funktioniert. Wer sichere API-Szenarien plant und seinen Schutz vor Token-Diebstahl erhöhen möchte, erhält in diesem Talk praxisnahe Antworten!

Präsentation
ErsatzvortragNon-Sponsored TalkFortgeschritteneDeutsch

Vortragsimpressionen

Niko Köbler

Niko Köbler

Niko Köbler IT-Beratung

Niko Köbler ist Freelancer, seit über 10 Jahren als “Mr. KEYCLOAK” bekannt und als IAM-Experte für Kunden aus unterschiedlichen Branchen europaweit tätig. Auf YouTube betreibt er seit Anfang 2021 einen erfolgreichen KEYCLOAK-Channel und unterstützt die Community in verschiedenen Foren. Seit 2024 veranstaltet er die KEYCLOAK DEVDAY Community Konferenz.
Außerdem ist er ein bekannter, regelmäßiger und gefragter Sprecher auf IT-Konferenzen, Co-Lead der JUG Darmstadt und schreibt als Autor Artikel für verschiedene Fachzeitschriften und Magazine.