DPoP 도입을 통한 Bearer Token 탈취 리스크 제거 및 브라우저 저장소 패러독스 분석

Context

Bearer Token의 단순 소유 기반 인증 구조로 인한 Token Replay 및 Exfiltration 취약점 존재. mTLS 및 HTTP Token Binding의 브라우저 지원 미비에 따른 애플리케이션 계층의 Sender-Constraining 메커니즘 필요성 증대.

Technical Solution

• 비대칭 키 쌍 생성을 통한 Token과 Client Key의 바인딩 구조 설계
• HTTP Method, URI, Timestamp 등을 포함한 DPoP Proof JWT 생성으로 요청 단위의 무결성 보장
• Authorization Server의 cnf claim 내 JWK Thumbprint 저장을 통한 Token-Key 결합 체계 구축
• Non-extractable CryptoKey를 IndexedDB에 저장하여 Key 추출을 방지하되, XSS 통한 Proxy-signing 위험 상존 파악
• Key material을 서버로 이전하는 BFF(Backend-for-Frontend) 패턴 적용을 통한 브라우저 내 Key 노출 원천 차단
• 세션 제한적 Memory-only Key 접근 방식을 통한 XSS 공격의 Blast Radius 최소화 전략 채택