Bearer Token (token au porteur)
Qu'est-ce que Bearer Token (token au porteur) ?
Bearer Token (token au porteur)Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
Un bearer token est une credential dont l'usage repose uniquement sur la possession: toute personne presentant le token a l'API obtient l'acces qu'il represente. Il voyage le plus souvent dans l'en-tete HTTP Authorization: Bearer et est defini par la RFC 6750 dans OAuth 2.0. Sans preuve de possession, il doit etre transporte en TLS, stocke avec soin, etroitement scope et a courte duree de vie. Des alternatives plus solides existent: tokens contraints au porteur comme DPoP, tokens lies a mTLS ou Token Binding. Un bearer token fuite est immediatement exploitable jusqu'a sa revocation ou son expiration.
● Exemples
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Appel a https://api.example.com/v1/orders avec un access token OAuth fuite.
● Questions fréquentes
Qu'est-ce que Bearer Token (token au porteur) ?
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Bearer Token (token au porteur) ?
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
Comment fonctionne Bearer Token (token au porteur) ?
Un bearer token est une credential dont l'usage repose uniquement sur la possession: toute personne presentant le token a l'API obtient l'acces qu'il represente. Il voyage le plus souvent dans l'en-tete HTTP Authorization: Bearer et est defini par la RFC 6750 dans OAuth 2.0. Sans preuve de possession, il doit etre transporte en TLS, stocke avec soin, etroitement scope et a courte duree de vie. Des alternatives plus solides existent: tokens contraints au porteur comme DPoP, tokens lies a mTLS ou Token Binding. Un bearer token fuite est immediatement exploitable jusqu'a sa revocation ou son expiration.
Comment se défendre contre Bearer Token (token au porteur) ?
Les défenses contre Bearer Token (token au porteur) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 007
Access Token (jeton d'acces)
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
- identity-access№ 913
Refresh Token
Credential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
- identity-access№ 749
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
- identity-access№ 051
Cle d'API (API Key)
Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
● Voir aussi
- № 575Vulnerabilites JWT