Access Token (jeton d'acces)
Qu'est-ce que Access Token (jeton d'acces) ?
Access Token (jeton d'acces)Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
Un access token represente l'autorisation accordee par le proprietaire de la ressource au client, restreinte par des scopes et audiences. Dans OAuth 2.0 et OpenID Connect, il peut etre opaque (valide par introspection) ou autonome sous forme de JWT (valide localement par signature). Il est generalement transmis dans l'en-tete Authorization: Bearer en TLS. Bonnes pratiques: vies courtes (minutes), scopes etroits, validation d'audience et d'issuer, stockage hors memoire JS quand possible. A combiner avec un refresh token pour le renouvellement et a preferer en version sender-constrained (DPoP, mTLS) pour les APIs critiques.
● Exemples
- 01
Access token OAuth 2.0 avec scope=read:invoices et exp 15 minutes.
- 02
Token opaque valide via l'endpoint /introspect du serveur d'autorisation.
● Questions fréquentes
Qu'est-ce que Access Token (jeton d'acces) ?
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Access Token (jeton d'acces) ?
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
Comment fonctionne Access Token (jeton d'acces) ?
Un access token represente l'autorisation accordee par le proprietaire de la ressource au client, restreinte par des scopes et audiences. Dans OAuth 2.0 et OpenID Connect, il peut etre opaque (valide par introspection) ou autonome sous forme de JWT (valide localement par signature). Il est generalement transmis dans l'en-tete Authorization: Bearer en TLS. Bonnes pratiques: vies courtes (minutes), scopes etroits, validation d'audience et d'issuer, stockage hors memoire JS quand possible. A combiner avec un refresh token pour le renouvellement et a preferer en version sender-constrained (DPoP, mTLS) pour les APIs critiques.
Comment se défendre contre Access Token (jeton d'acces) ?
Les défenses contre Access Token (jeton d'acces) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 088
Bearer Token (token au porteur)
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
- identity-access№ 913
Refresh Token
Credential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
- identity-access№ 749
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
● Voir aussi
- № 575Vulnerabilites JWT