Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 007

Access Token

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Access Token?

Access TokenKurzlebiges Credential, ausgestellt von einem Authorization Server, das ein Client einer API vorlegt, um geschützte Ressourcen im Namen eines Nutzers oder Dienstes aufzurufen.


Ein Access Token repräsentiert die Berechtigung, die ein Ressourceninhaber einem Client erteilt hat, eingegrenzt auf bestimmte Rechte und Audiences. In OAuth 2.0 (RFC 6749) und OpenID Connect können Access Tokens opak sein - validiert durch Aufruf des Introspection-Endpoints des Authorization Servers (RFC 7662) - oder selbsterhaltende JWTs, die lokal über die Signatur geprüft werden. Sie werden typischerweise gemäß RFC 6750 im Authorization: Bearer-Header gesendet und müssen über TLS übertragen werden.

Die zentrale Schwäche eines einfachen Bearer Tokens ist, dass Besitz gleich Befugnis bedeutet: Ein Token, der aus dem Browser-Speicher, einem Log oder einem Proxy gestohlen wurde, kann von jedem wiederabgespielt werden. Das hat den Aufstieg sender-constrained Tokens vorangetrieben. RFC 8705 bindet einen Token an das TLS-Zertifikat des Clients (dessen Hash im Claim cnf.x5t#S256 festgehalten wird), und RFC 9449 (DPoP) bindet den Token an ein clientseitiges Schlüsselpaar und verlangt bei jeder Anfrage ein frisch signiertes Proof-JWT, sodass ein wiederabgespielter Token ohne den privaten Schlüssel nutzlos ist. Token-Diebstahl-Angriffe - darunter das bei Lapsus$ beobachtete Session-/Token-Replay sowie diverse "Pass-the-Token"-Cloud-Einbrüche - sind genau das, was diese Mechanismen vereiteln.

Best Practices: kurze Lebenszeiten (Minuten), enge Scopes, strikte Audience- und Issuer-Validierung, Ablehnen des alg: none-JWT-Tricks, Kombination mit Refresh Tokens zur Erneuerung und Tokens außerhalb von per JavaScript zugänglichem Speicher halten. Für kritische APIs DPoP- oder mTLS-gebundene Tokens gegenüber einfachen Bearer Tokens bevorzugen.

flowchart LR
  RO[Ressourceninhaber] -->|erteilt Einwilligung| AS[Authorization Server]
  C[Client] -->|Token-Anfrage + DPoP/mTLS-Schlüssel| AS
  AS -->|kurzlebiges Access Token<br/>Scope + aud + cnf-Claim| C
  C -->|Bearer Token + Besitznachweis| RS[Resource Server / API]
  RS -->|Signatur prüfen/Introspection<br/>aud, exp, Schlüsselbindung prüfen| RS
  RS -->|erlauben oder verweigern| C

Beispiele

  1. 01

    Ein OAuth-2.0-Access-Token mit scope=read:invoices und einem exp 15 Minuten in der Zukunft.

  2. 02

    Ein opaker Token, validiert über den /introspect-Endpoint des Authorization Servers.

Häufige Fragen

Was ist Access Token?

Kurzlebiges Credential, ausgestellt von einem Authorization Server, das ein Client einer API vorlegt, um geschützte Ressourcen im Namen eines Nutzers oder Dienstes aufzurufen. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.

Was bedeutet Access Token?

Kurzlebiges Credential, ausgestellt von einem Authorization Server, das ein Client einer API vorlegt, um geschützte Ressourcen im Namen eines Nutzers oder Dienstes aufzurufen.

Wie schützt man sich gegen Access Token?

Schutzmaßnahmen gegen Access Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Verwandte Begriffe

Siehe auch