Token de acceso (Access Token)
¿Qué es Token de acceso (Access Token)?
Token de acceso (Access Token)Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
Un access token representa la autorizacion concedida por el propietario del recurso al cliente, limitada por permisos y audiencias. En OAuth 2.0 y OpenID Connect puede ser opaco (validado por introspeccion) o autocontenido como JWT (validado localmente por firma). Suele viajar en la cabecera Authorization: Bearer y siempre por TLS. Buenas practicas: vidas cortas (minutos), scopes minimos, validar audience y issuer, y guardar el token fuera de la memoria de JavaScript cuando sea posible. Combinalo con refresh tokens para la renovacion y prefiere variantes vinculadas al emisor (DPoP o mTLS) para APIs criticas.
● Ejemplos
- 01
Access token OAuth 2.0 con scope=read:invoices y exp a 15 minutos.
- 02
Token opaco validado mediante el endpoint /introspect del servidor de autorizacion.
● Preguntas frecuentes
¿Qué es Token de acceso (Access Token)?
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Token de acceso (Access Token)?
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
¿Cómo funciona Token de acceso (Access Token)?
Un access token representa la autorizacion concedida por el propietario del recurso al cliente, limitada por permisos y audiencias. En OAuth 2.0 y OpenID Connect puede ser opaco (validado por introspeccion) o autocontenido como JWT (validado localmente por firma). Suele viajar en la cabecera Authorization: Bearer y siempre por TLS. Buenas practicas: vidas cortas (minutos), scopes minimos, validar audience y issuer, y guardar el token fuera de la memoria de JavaScript cuando sea posible. Combinalo con refresh tokens para la renovacion y prefiere variantes vinculadas al emisor (DPoP o mTLS) para APIs criticas.
¿Cómo defenderse de Token de acceso (Access Token)?
Las defensas contra Token de acceso (Access Token) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 088
Token portador (Bearer Token)
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.
- identity-access№ 913
Refresh Token
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
- identity-access№ 749
OAuth 2.0
Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.
- appsec№ 052
Seguridad de API
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.