# Tokens ## Access Tokens OAuth Access Tokens – строка, которую клиент OAuth использует для выполнения запросов к серверу ресурсов. Выделяют два типа access-токенов: * Bearer-токены — это строка, которая содержит (или может содержать) в себе какие-то данные, предназначенные для сервера (не для клиента) * Sender-constrained токены — это токены, которые привязаны к отправителю (клиент OAuth должен каким-либо образом подтвердить владение секретным ключом, чтобы использовать access-токен) и не могут быть использованы сами по себе Формат Access-токенов не определен. Существует ряд свойств access-токенов, которые имеют фундаментальное значение для модели безопасности OAuth: * Access-токены не должны считываться или интерпретироваться клиентом OAuth, тк они созданы не для него * Access-токены не передают клиенту OAuth личность пользователя или любую другую информацию о пользователе * Access-токены следует использовать **только** для запросов к серверу ресурсов. В дополнение ID-токены **не должны** использоваться для запросов к серверу ресурсов ## Refresh Tokens OAuth Refresh токен — строка, по которой OAuth клиент может получить новый access-токен без взаимодействия с пользователем. Refresh-токен не должен позволить дать доступ вне скопа, который был разрешен. Эти токены существуют, чтобы время жизни у access-токенов было меньше. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://appsecurity.gitbook.io/offensive/appsec/technologies/web/oauth-openid-2fa/oauth-1/definitions/tokens.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.