ベアラー トークンは、最新の ID フローで一般的です。 ユーザーが Azure DevOps にログインすると、Web クライアントは、Microsoft Authentication Library (MSAL) を使用して Entra からベアラー トークンの一種である OAuth 2.0 アクセス トークンを取得します。 このトークンは、ユーザーのブラウザー キャッシュに格納されます。 ただし、トークン キャッシュから盗まれるのは脆弱です。 所有証明 (PoP) またはデバイス バインド トークンは、公開キーと秘密キーのペアを使用してクライアント デバイスにこのトークンを結び付けることで、このリスクを軽減するのに役立ちます。 Microsoft Entra は公開キーをトークンに追加し、クライアントは秘密キーで署名します。その結果、2 つのデジタル署名 (Entra とクライアントの 1 つ) が生成されます。 これにより、次の 2 つの主要な保護が提供されます。
トークン キャッシュの安全性。 ローカル ブラウザー キャッシュには、完全に署名された PoP トークンは 格納されません。トークンは必要な場合にのみ署名されるため、盗まれたキャッシュ トークンは、ほとんどの場合、ハードウェアで保護されている秘密キーなしでは使用できません。
中間者攻撃からの保護。 また、このプロトコルは、中間者攻撃からのリプレイまたは傍受攻撃を防ぎます。
Azure DevOps は、トークンの盗難からユーザーを保護するために、Web クライアントで使用されるアクセス トークンをデバイスバインド トークンにアップグレードします。