Entry № 106
ベアラトークン(Bearer Token)
ベアラトークン(Bearer Token) とは何ですか?
ベアラトークン(Bearer Token)RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
ベアラトークンは「所持」だけで認証される資格情報で、API に提示できれば誰でもそのアクセス権を得られます。HTTP の Authorization: Bearer ヘッダーで送られ、OAuth 2.0 の枠組みで RFC 6750 として定義されています。所有証明がないため、TLS での伝送、安全な保管、狭いスコープ、短い有効期間が必須です。送信者拘束のあるトークン(DPoP、mTLS バウンド、Token Binding)はより安全な選択肢です。漏れたベアラトークンは失効するまで即座に悪用されます。
● 例
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
漏えいした OAuth アクセストークンで https://api.example.com/v1/orders を呼び出す。
● よくある質問
ベアラトークン(Bearer Token) とは何ですか?
RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。 サイバーセキュリティの ID とアクセス カテゴリに属します。
ベアラトークン(Bearer Token) とはどういう意味ですか?
RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
ベアラトークン(Bearer Token) からどのように防御しますか?
ベアラトークン(Bearer Token) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。