Access Token
O que é Access Token?
Access TokenCredencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
Um access token representa a autorizacao concedida pelo dono do recurso ao cliente, limitada por scopes e audiencias. Em OAuth 2.0 e OpenID Connect pode ser opaco (validado por introspection) ou autocontido em JWT (validado localmente por assinatura). Viaja normalmente no cabecalho Authorization: Bearer sobre TLS. Boas praticas: tempos de vida curtos (minutos), scopes minimos, validar audience e issuer e guardar o token fora da memoria do JavaScript sempre que possivel. Combine com refresh tokens para renovacao e prefira variantes vinculadas ao emissor (DPoP, mTLS) em APIs criticas.
● Exemplos
- 01
Access token OAuth 2.0 com scope=read:invoices e exp em 15 minutos.
- 02
Token opaco validado pelo endpoint /introspect do servidor de autorizacao.
● Perguntas frequentes
O que é Access Token?
Credencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Access Token?
Credencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
Como funciona Access Token?
Um access token representa a autorizacao concedida pelo dono do recurso ao cliente, limitada por scopes e audiencias. Em OAuth 2.0 e OpenID Connect pode ser opaco (validado por introspection) ou autocontido em JWT (validado localmente por assinatura). Viaja normalmente no cabecalho Authorization: Bearer sobre TLS. Boas praticas: tempos de vida curtos (minutos), scopes minimos, validar audience e issuer e guardar o token fora da memoria do JavaScript sempre que possivel. Combine com refresh tokens para renovacao e prefira variantes vinculadas ao emissor (DPoP, mTLS) em APIs criticas.
Como se defender contra Access Token?
As defesas contra Access Token costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 088
Bearer Token (token ao portador)
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.
- identity-access№ 913
Refresh Token
Credencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
- identity-access№ 749
OAuth 2.0
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
- appsec№ 052
Segurança de API
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.