Tokens

Access Tokens

OAuth Access Tokens – строка, которую клиент OAuth использует для выполнения запросов к серверу ресурсов. Выделяют два типа access-токенов:

Bearer-токены — это строка, которая содержит (или может содержать) в себе какие-то данные, предназначенные для сервера (не для клиента)
Sender-constrained токены — это токены, которые привязаны к отправителю (клиент OAuth должен каким-либо образом подтвердить владение секретным ключом, чтобы использовать access-токен) и не могут быть использованы сами по себе

Формат Access-токенов не определен.

Существует ряд свойств access-токенов, которые имеют фундаментальное значение для модели безопасности OAuth:

Access-токены не должны считываться или интерпретироваться клиентом OAuth, тк они созданы не для него
Access-токены не передают клиенту OAuth личность пользователя или любую другую информацию о пользователе
Access-токены следует использовать только для запросов к серверу ресурсов. В дополнение ID-токены не должны использоваться для запросов к серверу ресурсов

OAuth Refresh токен — строка, по которой OAuth клиент может получить новый access-токен без взаимодействия с пользователем.

Refresh-токен не должен позволить дать доступ вне скопа, который был разрешен. Эти токены существуют, чтобы время жизни у access-токенов было меньше.

Last updated 2 years ago