Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 007

Access Token (jeton d'acces)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Access Token (jeton d'acces) ?

Access Token (jeton d'acces)Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.


Un access token represente l'autorisation qu'un proprietaire de ressource a accordee a un client, restreinte a des permissions et audiences precises. Dans OAuth 2.0 (RFC 6749) et OpenID Connect, les access tokens peuvent etre opaques — valides en appelant l'endpoint d'introspection du serveur d'autorisation (RFC 7662) — ou autonomes sous forme de JWT valides localement par signature. Ils sont generalement transmis dans l'en-tete Authorization: Bearer selon la RFC 6750 et doivent circuler sur TLS.

La faiblesse fondamentale d'un simple jeton porteur est que la possession equivaut a l'autorite : un token derobe depuis le stockage d'un navigateur, un log ou un proxy peut etre rejoue par quiconque. Cela a motive l'essor des tokens sender-constrained (lies a l'emetteur). La RFC 8705 lie un token au certificat TLS du client (en enregistrant son empreinte dans la claim cnf.x5t#S256), et la RFC 9449 (DPoP) lie le token a une paire de cles detenue par le client, exigeant une preuve JWT signee fraiche a chaque requete, de sorte qu'un token rejoue est inutile sans la cle privee. Les attaques par vol de token — y compris le rejeu de session/token observe dans Lapsus$ et diverses intrusions cloud « pass-the-token » — sont precisement ce que ces mecanismes contrent.

Bonnes pratiques : vies courtes (minutes), scopes etroits, validation stricte de l'audience et de l'issuer, rejet de l'astuce JWT alg: none, association a des refresh tokens pour le renouvellement, et stockage des tokens hors de tout espace accessible au JavaScript. Pour les APIs critiques, preferer des tokens lies par DPoP ou mTLS aux simples jetons porteurs.

flowchart LR
  RO[Proprietaire de la ressource] -->|donne son consentement| AS[Serveur d'autorisation]
  C[Client] -->|requete de token + cle DPoP/mTLS| AS
  AS -->|access token a courte duree<br/>scope + aud + claim cnf| C
  C -->|jeton Bearer + preuve de possession| RS[Serveur de ressources / API]
  RS -->|valider signature/introspection<br/>verifier aud, exp, liaison de cle| RS
  RS -->|autoriser ou refuser| C

Exemples

  1. 01

    Access token OAuth 2.0 avec scope=read:invoices et exp 15 minutes dans le futur.

  2. 02

    Token opaque valide via l'endpoint /introspect du serveur d'autorisation.

Questions fréquentes

Qu'est-ce que Access Token (jeton d'acces) ?

Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Que signifie Access Token (jeton d'acces) ?

Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.

Comment se défendre contre Access Token (jeton d'acces) ?

Les défenses contre Access Token (jeton d'acces) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Termes liés

Voir aussi