Bearer-токен
Что такое Bearer-токен?
Bearer-токенНепрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
Bearer-токен — учётные данные, аутентификация которых обеспечивается только владением: кто предъявит токен API, тот и получит соответствующий доступ. Обычно передаётся в заголовке HTTP Authorization: Bearer и определён RFC 6750 в контексте OAuth 2.0. Поскольку нет доказательства владения, обязательны TLS-передача, безопасное хранение, узкий scope и короткое время жизни. Более стойкие альтернативы — sender-constrained-токены: DPoP, mTLS-bound, Token Binding. Утекший bearer-токен можно использовать немедленно до отзыва или истечения.
● Примеры
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
Вызов https://api.example.com/v1/orders с утёкшим OAuth access-токеном.
● Частые вопросы
Что такое Bearer-токен?
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Bearer-токен?
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.
Как защититься от Bearer-токен?
Защита от Bearer-токен обычно сочетает технические меры и операционные практики, как описано в определении выше.