Bearer Token (token ao portador)
O que é Bearer Token (token ao portador)?
Bearer Token (token ao portador)Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.
Um bearer token e uma credencial autenticada apenas pela posse: quem o apresentar a API obtem o acesso que ele representa. Viaja habitualmente no cabecalho HTTP Authorization: Bearer e e definido pela RFC 6750 no contexto do OAuth 2.0. Sem prova de posse, deve ser transportado por TLS, guardado com cuidado, com escopo reduzido e vida curta. Alternativas mais robustas sao tokens vinculados ao emissor: DPoP, tokens ligados a mTLS e Token Binding. Um bearer token vazado e imediatamente utilizavel ate ser revogado ou expirar.
● Exemplos
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Chamar https://api.example.com/v1/orders com um access token OAuth vazado.
● Perguntas frequentes
O que é Bearer Token (token ao portador)?
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Bearer Token (token ao portador)?
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.
Como funciona Bearer Token (token ao portador)?
Um bearer token e uma credencial autenticada apenas pela posse: quem o apresentar a API obtem o acesso que ele representa. Viaja habitualmente no cabecalho HTTP Authorization: Bearer e e definido pela RFC 6750 no contexto do OAuth 2.0. Sem prova de posse, deve ser transportado por TLS, guardado com cuidado, com escopo reduzido e vida curta. Alternativas mais robustas sao tokens vinculados ao emissor: DPoP, tokens ligados a mTLS e Token Binding. Um bearer token vazado e imediatamente utilizavel ate ser revogado ou expirar.
Como se defender contra Bearer Token (token ao portador)?
As defesas contra Bearer Token (token ao portador) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 007
Access Token
Credencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
- identity-access№ 913
Refresh Token
Credencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
- identity-access№ 749
OAuth 2.0
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
- appsec№ 052
Segurança de API
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
- identity-access№ 051
Chave de API (API Key)
String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido.