ベアラトークン(Bearer Token)
ベアラトークン(Bearer Token) とは何ですか?
ベアラトークン(Bearer Token)RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
ベアラトークンは「所持」だけで認証される資格情報で、API に提示できれば誰でもそのアクセス権を得られます。HTTP の Authorization: Bearer ヘッダーで送られ、OAuth 2.0 の枠組みで RFC 6750 として定義されています。所有証明がないため、TLS での伝送、安全な保管、狭いスコープ、短い有効期間が必須です。送信者拘束のあるトークン(DPoP、mTLS バウンド、Token Binding)はより安全な選択肢です。漏れたベアラトークンは失効するまで即座に悪用されます。
● 例
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
漏えいした OAuth アクセストークンで https://api.example.com/v1/orders を呼び出す。
● よくある質問
ベアラトークン(Bearer Token) とは何ですか?
RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。 サイバーセキュリティの ID とアクセス カテゴリに属します。
ベアラトークン(Bearer Token) とはどういう意味ですか?
RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
ベアラトークン(Bearer Token) はどのように機能しますか?
ベアラトークンは「所持」だけで認証される資格情報で、API に提示できれば誰でもそのアクセス権を得られます。HTTP の Authorization: Bearer ヘッダーで送られ、OAuth 2.0 の枠組みで RFC 6750 として定義されています。所有証明がないため、TLS での伝送、安全な保管、狭いスコープ、短い有効期間が必須です。送信者拘束のあるトークン(DPoP、mTLS バウンド、Token Binding)はより安全な選択肢です。漏れたベアラトークンは失効するまで即座に悪用されます。
ベアラトークン(Bearer Token) からどのように防御しますか?
ベアラトークン(Bearer Token) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 574
JWT(JSON Web Token)
署名付き JSON クレームを運ぶ、コンパクトで URL セーフなトークン形式(RFC 7519)。アクセストークン、ID トークン、セッションコンテナとして広く使われる。
- identity-access№ 007
アクセストークン
認可サーバーが発行する短命の資格情報で、クライアントは API に提示してユーザーやサービスの代わりに保護リソースへアクセスする。
- identity-access№ 913
リフレッシュトークン
ユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。
- identity-access№ 749
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
- appsec№ 052
API セキュリティ
認証・認可・データ露出・濫用耐性が攻撃下でも崩れないように API を設計・実装・運用する分野。
- identity-access№ 051
API キー
サービスが発行する静的なシークレット文字列。呼び出し元を識別・認証するため、各 API 呼び出しのヘッダーやクエリで送信される。
● 関連項目
- № 575JWT の脆弱性