Я смотрю на это RF C https://tools.ietf.org/html/rfc7800 специально Доказательство владения ключом Asymmetri c [страница 3], и я пытаюсь понять, что обеспечивает фактическое доказательство владение. Я понимаю, что у докладчика есть закрытый ключ, который будет использоваться для подписи одноразового номера, но поскольку все это происходит не на уровне TLS, что мешает человеку в середине перехватить токен POP (который не достиг получателя) и используя его, потому что независимо от того, кто на самом деле отправляет его, подпись все еще действительна с ключом publi c в JWT.
Я понимаю, что одноразовый номер можно использовать для предотвращения повторов, но я могу использовать одноразовый номер без всего рабочего процесса POP и при этом предотвратить повторы.