Bearer 令牌(持有者令牌)
Bearer 令牌(持有者令牌) 是什么?
Bearer 令牌(持有者令牌)RFC 6750 定义的不透明或结构化凭据,仅凭持有即可授予对资源的访问权限,不需证明持有者是合法所有者。
Bearer 令牌仅凭"持有"完成认证:任何能向 API 出示该令牌的人都能获得其代表的访问权限。它通常承载在 HTTP Authorization: Bearer 头中,由 RFC 6750 在 OAuth 2.0 框架下定义。由于不存在持有证明,Bearer 令牌必须经 TLS 传输、谨慎存储、范围最小、且生命周期较短。更强的替代是与发送方绑定的令牌,如 DPoP、mTLS 绑定令牌或 Token Binding。泄露的 Bearer 令牌在被撤销或过期之前可被即时滥用。
● 示例
- 01
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
- 02
使用泄露的 OAuth 访问令牌调用 https://api.example.com/v1/orders。
● 常见问题
Bearer 令牌(持有者令牌) 是什么?
RFC 6750 定义的不透明或结构化凭据,仅凭持有即可授予对资源的访问权限,不需证明持有者是合法所有者。 它属于网络安全的 身份与访问 分类。
Bearer 令牌(持有者令牌) 是什么意思?
RFC 6750 定义的不透明或结构化凭据,仅凭持有即可授予对资源的访问权限,不需证明持有者是合法所有者。
Bearer 令牌(持有者令牌) 是如何工作的?
Bearer 令牌仅凭"持有"完成认证:任何能向 API 出示该令牌的人都能获得其代表的访问权限。它通常承载在 HTTP Authorization: Bearer 头中,由 RFC 6750 在 OAuth 2.0 框架下定义。由于不存在持有证明,Bearer 令牌必须经 TLS 传输、谨慎存储、范围最小、且生命周期较短。更强的替代是与发送方绑定的令牌,如 DPoP、mTLS 绑定令牌或 Token Binding。泄露的 Bearer 令牌在被撤销或过期之前可被即时滥用。
如何防御 Bearer 令牌(持有者令牌)?
针对 Bearer 令牌(持有者令牌) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- identity-access№ 574
JWT(JSON Web Token)
紧凑、URL 安全的令牌格式(RFC 7519),携带带签名的 JSON 声明,广泛用作访问令牌、ID 令牌和会话载体。
- identity-access№ 007
访问令牌(Access Token)
由授权服务器签发的短期凭据,客户端向 API 出示后即可代表用户或服务访问受保护资源。
- identity-access№ 913
刷新令牌(Refresh Token)
用于在 OAuth 2.0 授权服务器上换取新短期访问令牌的长期凭据,无需用户再次登录。
- identity-access№ 749
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
- appsec№ 052
API 安全
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
- identity-access№ 051
API 密钥(API Key)
服务签发的静态密文字符串,用于识别和认证调用方,通常通过请求头或查询参数随每次 API 调用发送。
● 参见
- № 575JWT 漏洞