Bearer Token
Was ist Bearer Token?
Bearer TokenOpake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
Ein Bearer Token ist eine Credential, deren Nutzung allein durch Besitz authentifiziert wird: Wer den Token an der API vorzeigt, erhalt den damit verbundenen Zugriff. Ubertragen wird er meist im HTTP-Header Authorization: Bearer; definiert in RFC 6750 im Kontext von OAuth 2.0. Ohne Proof-of-Possession sind TLS-Transport, sichere Speicherung, enge Scopes und kurze Lebensdauer Pflicht. Starkere Alternativen sind sender-constrained Tokens wie DPoP, mTLS-gebundene Tokens oder Token Binding. Geleakte Bearer Tokens sind bis zur Revocation oder Ablauf sofort missbrauchbar.
● Beispiele
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Aufruf von https://api.example.com/v1/orders mit einem geleakten OAuth-Access-Token.
● Häufige Fragen
Was ist Bearer Token?
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Bearer Token?
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
Wie funktioniert Bearer Token?
Ein Bearer Token ist eine Credential, deren Nutzung allein durch Besitz authentifiziert wird: Wer den Token an der API vorzeigt, erhalt den damit verbundenen Zugriff. Ubertragen wird er meist im HTTP-Header Authorization: Bearer; definiert in RFC 6750 im Kontext von OAuth 2.0. Ohne Proof-of-Possession sind TLS-Transport, sichere Speicherung, enge Scopes und kurze Lebensdauer Pflicht. Starkere Alternativen sind sender-constrained Tokens wie DPoP, mTLS-gebundene Tokens oder Token Binding. Geleakte Bearer Tokens sind bis zur Revocation oder Ablauf sofort missbrauchbar.
Wie schützt man sich gegen Bearer Token?
Schutzmaßnahmen gegen Bearer Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 574
JWT (JSON Web Token)
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
- identity-access№ 007
Access Token
Kurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft.
- identity-access№ 913
Refresh Token
Langlebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
- identity-access№ 749
OAuth 2.0
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- appsec№ 052
API-Sicherheit
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
- identity-access№ 051
API-Key
Statisches Secret-String, das ein Dienst ausstellt, um den Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder Anfrage.
● Siehe auch
- № 575JWT-Schwachstellen