Access-токен
Что такое Access-токен?
Access-токенКороткоживущая учётка, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса.
Access-токен выражает авторизацию, которую владелец ресурса передал клиенту, ограниченную scope и audience. В OAuth 2.0 и OpenID Connect он бывает непрозрачным (валидируется через introspection) или самодостаточным JWT (проверяется локально по подписи). Обычно отправляется в заголовке Authorization: Bearer через TLS. Лучшие практики: короткое время жизни (минуты), узкие scope, проверка audience и issuer, хранение вне памяти JavaScript, где возможно. Для обновления используйте refresh-токены; для критичных API предпочтительны sender-constrained-варианты (DPoP, mTLS-bound).
● Примеры
- 01
OAuth 2.0 access-токен со scope=read:invoices и exp через 15 минут.
- 02
Непрозрачный токен, валидируемый через /introspect сервера авторизации.
● Частые вопросы
Что такое Access-токен?
Короткоживущая учётка, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Access-токен?
Короткоживущая учётка, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса.
Как работает Access-токен?
Access-токен выражает авторизацию, которую владелец ресурса передал клиенту, ограниченную scope и audience. В OAuth 2.0 и OpenID Connect он бывает непрозрачным (валидируется через introspection) или самодостаточным JWT (проверяется локально по подписи). Обычно отправляется в заголовке Authorization: Bearer через TLS. Лучшие практики: короткое время жизни (минуты), узкие scope, проверка audience и issuer, хранение вне памяти JavaScript, где возможно. Для обновления используйте refresh-токены; для критичных API предпочтительны sender-constrained-варианты (DPoP, mTLS-bound).
Как защититься от Access-токен?
Защита от Access-токен обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 574
JWT (JSON Web Token)
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
- identity-access№ 088
Bearer-токен
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
- identity-access№ 913
Refresh-токен
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
- identity-access№ 749
OAuth 2.0
Открытый фреймворк авторизации, позволяющий владельцу ресурса предоставлять стороннему приложению ограниченный и регулируемый доступ к API без передачи учётных данных.
- identity-access№ 760
OpenID Connect (OIDC)
Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.
- appsec№ 052
Безопасность API
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
● См. также
- № 575Уязвимости JWT