DPoP
OAuth 2.0において、アクセストークンが盗まれても正規のクライアントだけがそのトークンを使えるようにする仕組み
これはPoP(Proof-of-Posession)の説明?
クライアントがアクセストークンをリクエスト、利用する際に署名付きのJWTを生成して使う