Bearer-токен
Что такое Bearer-токен?
Bearer-токенНепрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
Bearer-токен — учётные данные, аутентификация которых обеспечивается только владением: кто предъявит токен API, тот и получит соответствующий доступ. Обычно передаётся в заголовке HTTP Authorization: Bearer и определён RFC 6750 в контексте OAuth 2.0. Поскольку нет доказательства владения, обязательны TLS-передача, безопасное хранение, узкий scope и короткое время жизни. Более стойкие альтернативы — sender-constrained-токены: DPoP, mTLS-bound, Token Binding. Утекший bearer-токен можно использовать немедленно до отзыва или истечения.
● Примеры
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Вызов https://api.example.com/v1/orders с утёкшим OAuth access-токеном.
● Частые вопросы
Что такое Bearer-токен?
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Bearer-токен?
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
Как работает Bearer-токен?
Bearer-токен — учётные данные, аутентификация которых обеспечивается только владением: кто предъявит токен API, тот и получит соответствующий доступ. Обычно передаётся в заголовке HTTP Authorization: Bearer и определён RFC 6750 в контексте OAuth 2.0. Поскольку нет доказательства владения, обязательны TLS-передача, безопасное хранение, узкий scope и короткое время жизни. Более стойкие альтернативы — sender-constrained-токены: DPoP, mTLS-bound, Token Binding. Утекший bearer-токен можно использовать немедленно до отзыва или истечения.
Как защититься от Bearer-токен?
Защита от Bearer-токен обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 574
JWT (JSON Web Token)
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
- identity-access№ 007
Access-токен
Короткоживущая учётка, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса.
- identity-access№ 913
Refresh-токен
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
- identity-access№ 749
OAuth 2.0
Открытый фреймворк авторизации, позволяющий владельцу ресурса предоставлять стороннему приложению ограниченный и регулируемый доступ к API без передачи учётных данных.
- appsec№ 052
Безопасность API
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
- identity-access№ 051
API-ключ
Статическая секретная строка, выдаваемая сервисом для идентификации и аутентификации вызывающей стороны; обычно отправляется в заголовке или параметре каждого запроса.
● См. также
- № 575Уязвимости JWT