Token portador (Bearer Token)
¿Qué es Token portador (Bearer Token)?
Token portador (Bearer Token)Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.
Un bearer token es una credencial cuyo uso se autentica solo por posesion: quien lo presente en la API obtiene el acceso que representa. Suele viajar en la cabecera HTTP Authorization: Bearer y esta definido en RFC 6750 dentro de OAuth 2.0. Al no haber prueba de posesion, debe transportarse por TLS, almacenarse con cuidado, limitarse en alcance y tener vidas cortas. Alternativas mas robustas son los tokens vinculados al emisor: DPoP, tokens ligados a mTLS o Token Binding. Un bearer token filtrado se puede usar inmediatamente hasta su revocacion o caducidad.
● Ejemplos
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Llamar a https://api.example.com/v1/orders con un access token OAuth filtrado.
● Preguntas frecuentes
¿Qué es Token portador (Bearer Token)?
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Token portador (Bearer Token)?
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.
¿Cómo funciona Token portador (Bearer Token)?
Un bearer token es una credencial cuyo uso se autentica solo por posesion: quien lo presente en la API obtiene el acceso que representa. Suele viajar en la cabecera HTTP Authorization: Bearer y esta definido en RFC 6750 dentro de OAuth 2.0. Al no haber prueba de posesion, debe transportarse por TLS, almacenarse con cuidado, limitarse en alcance y tener vidas cortas. Alternativas mas robustas son los tokens vinculados al emisor: DPoP, tokens ligados a mTLS o Token Binding. Un bearer token filtrado se puede usar inmediatamente hasta su revocacion o caducidad.
¿Cómo defenderse de Token portador (Bearer Token)?
Las defensas contra Token portador (Bearer Token) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 007
Token de acceso (Access Token)
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
- identity-access№ 913
Refresh Token
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
- identity-access№ 749
OAuth 2.0
Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.
- appsec№ 052
Seguridad de API
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
- identity-access№ 051
Clave de API (API Key)
Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion.