Access Token
Was ist Access Token?
Access TokenKurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft.
Ein Access Token reprasentiert die vom Ressourceninhaber an den Client erteilte Berechtigung, eingegrenzt auf Scopes und Audiences. In OAuth 2.0 und OpenID Connect ist er entweder opak (Validierung via Introspection) oder selbsterhaltend als JWT (lokal uber Signatur gepruft). Er wird typisch im Header Authorization: Bearer uber TLS gesendet. Best Practices: kurze Lebenszeit (Minuten), enge Scopes, Audience- und Issuer-Validierung sowie Speicherung ausserhalb des JS-Speichers, wo moglich. In Kombination mit Refresh Tokens fur Renewal; bei kritischen APIs sender-constrained Varianten (DPoP, mTLS) bevorzugen.
● Beispiele
- 01
OAuth-2.0-Access-Token mit scope=read:invoices und Ablauf in 15 Minuten.
- 02
Opaker Token, validiert uber den /introspect-Endpoint des Authorization Servers.
● Häufige Fragen
Was ist Access Token?
Kurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Access Token?
Kurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft.
Wie funktioniert Access Token?
Ein Access Token reprasentiert die vom Ressourceninhaber an den Client erteilte Berechtigung, eingegrenzt auf Scopes und Audiences. In OAuth 2.0 und OpenID Connect ist er entweder opak (Validierung via Introspection) oder selbsterhaltend als JWT (lokal uber Signatur gepruft). Er wird typisch im Header Authorization: Bearer uber TLS gesendet. Best Practices: kurze Lebenszeit (Minuten), enge Scopes, Audience- und Issuer-Validierung sowie Speicherung ausserhalb des JS-Speichers, wo moglich. In Kombination mit Refresh Tokens fur Renewal; bei kritischen APIs sender-constrained Varianten (DPoP, mTLS) bevorzugen.
Wie schützt man sich gegen Access Token?
Schutzmaßnahmen gegen Access Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 574
JWT (JSON Web Token)
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
- identity-access№ 088
Bearer Token
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
- identity-access№ 913
Refresh Token
Langlebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
- identity-access№ 749
OAuth 2.0
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- identity-access№ 760
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
- appsec№ 052
API-Sicherheit
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
● Siehe auch
- № 575JWT-Schwachstellen