アクセストークン
アクセストークン とは何ですか?
アクセストークン認可サーバーが発行する短命の資格情報で、クライアントは API に提示してユーザーやサービスの代わりに保護リソースへアクセスする。
アクセストークンは、リソース所有者がクライアントに与えた認可を表し、スコープとオーディエンスで制限されます。OAuth 2.0 と OpenID Connect では、不透明トークン(イントロスペクションで検証)と自己完結型の JWT(署名でローカル検証)があります。通常は Authorization: Bearer ヘッダーで TLS 上を送信します。ベストプラクティスは短い有効期間(分単位)、最小スコープ、aud と iss の検証、可能な限り JS メモリ外に保管することです。更新にはリフレッシュトークンを併用し、重要 API には DPoP や mTLS バウンドなどの送信者拘束型を採用してください。
● 例
- 01
scope=read:invoices、exp が 15 分後の OAuth 2.0 アクセストークン。
- 02
認可サーバーの /introspect エンドポイントで検証する不透明トークン。
● よくある質問
アクセストークン とは何ですか?
認可サーバーが発行する短命の資格情報で、クライアントは API に提示してユーザーやサービスの代わりに保護リソースへアクセスする。 サイバーセキュリティの ID とアクセス カテゴリに属します。
アクセストークン とはどういう意味ですか?
認可サーバーが発行する短命の資格情報で、クライアントは API に提示してユーザーやサービスの代わりに保護リソースへアクセスする。
アクセストークン はどのように機能しますか?
アクセストークンは、リソース所有者がクライアントに与えた認可を表し、スコープとオーディエンスで制限されます。OAuth 2.0 と OpenID Connect では、不透明トークン(イントロスペクションで検証)と自己完結型の JWT(署名でローカル検証)があります。通常は Authorization: Bearer ヘッダーで TLS 上を送信します。ベストプラクティスは短い有効期間(分単位)、最小スコープ、aud と iss の検証、可能な限り JS メモリ外に保管することです。更新にはリフレッシュトークンを併用し、重要 API には DPoP や mTLS バウンドなどの送信者拘束型を採用してください。
アクセストークン からどのように防御しますか?
アクセストークン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 574
JWT(JSON Web Token)
署名付き JSON クレームを運ぶ、コンパクトで URL セーフなトークン形式(RFC 7519)。アクセストークン、ID トークン、セッションコンテナとして広く使われる。
- identity-access№ 088
ベアラトークン(Bearer Token)
RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
- identity-access№ 913
リフレッシュトークン
ユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。
- identity-access№ 749
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
- identity-access№ 760
OpenID Connect (OIDC)
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
- appsec№ 052
API セキュリティ
認証・認可・データ露出・濫用耐性が攻撃下でも崩れないように API を設計・実装・運用する分野。
● 関連項目
- № 575JWT の脆弱性