Was ist ein Bearer Token? OAuth 2.0, JWTs, Sicherheit
Bearer Token: ein opaker String, der API-Requests authentifiziert — wer ihn besitzt, hat vollen Zugriff. Gesendet als Authorization: Bearer Header.
Was ist ein Bearer Token?
Ein Bearer Token ist ein Sicherheits-Credential zur Authentifizierung von API-Requests, definiert in der OAuth 2.0 Spezifikation (RFC 6750). Die definierende Eigenschaft steckt im Namen: wer den Token trägt (engl. bears), bekommt Zugriff — der Token selbst ist der Beweis der Autorisierung. Keine Signatur, kein separater Schlüssel, keine Challenge-Response. Besitz gleich Zugriff.
Bearer Tokens sind das dominante Authentifizierungs-Schema für moderne REST-APIs und OAuth 2.0 Flows. Sie ersetzen ältere Ansätze wie Basic Auth.
Wie Bearer Tokens in HTTP funktionieren
Ein Bearer Token wird im HTTP Authorization-Header mit dem Bearer-Schema gesendet:
GET /api/users/me HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...Der Server validiert den Token und ehrt entweder den Request oder returnt 401 Unauthorized. Der vollständige Flow:
- Client authentifiziert. Via OAuth 2.0, API-Key-Exchange oder Login-Formular.
- Server issued einen Bearer Token. Returnt in der Response, typischerweise als JSON.
- Client speichert den Token. Im Memory, Secure Storage oder httpOnly-Cookie.
- Client sendet Token mit jedem Request.
- Server validiert jeden Request.
- Token expired. Client nutzt Refresh-Token oder re-authentifiziert.
Bearer-Token-Formate
Opake Tokens
Ein zufälliger String ohne eingebettete Informationen. Der Server speichert Token-zu-User-Mappings in einer Datenbank.
Authorization: Bearer 7b3f2e8a-1c4d-4b6a-9e7f-2c8d3a4b5e1fPros: Revocation ist instant (aus DB löschen). Cons: jeder Request erfordert einen Database-Lookup.
JWT (JSON Web Tokens)
Ein selbst-enthaltenes signiertes Token-Format (RFC 7519). Der Payload enthält die Claims; die Signatur beweist Authentizität ohne Server-State.
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5cJWTs sind drei base64-encodierte Segmente getrennt durch Punkte. Pros: kein DB-Lookup. Cons: Revocation ist schwieriger.
Reference Tokens
Ein Hybrid: kurzer opaker Token, der zu einer server-seitigen Session mapped.
Bearer Token vs andere Auth-Schemas
| Schema | Wie es funktioniert | Am besten für |
|---|---|---|
| Bearer Token | Token in Authorization-Header; Besitz = Zugriff | Moderne REST-APIs, OAuth 2.0 |
| Basic Auth | Username:Password base64 in Authorization-Header | Nur interne/Legacy-APIs |
| API Key | Statischer Key in Header oder Query-Param | Server-to-Server, einfache Integrationen |
| HMAC / Signed Requests | Client signiert Request mit Shared Secret | High-Security APIs (AWS, Stripe webhooks) |
| Mutual TLS (mTLS) | Client presentiert Zertifikat | Service-to-Service, Zero-Trust |
| Session Cookies | Server-seitige Session-ID im Cookie | Browser-Apps |
OAuth 2.0 und Bearer Tokens
OAuth 2.0 ist das Framework, das Bearer Tokens für API-Access standardisiert hat. Häufige Flows:
- Authorization Code (mit PKCE). User-facing Apps.
- Client Credentials. Server-to-Server.
- Refresh Token. Long-lived Token für neue Access-Tokens.
- Device Code. Geräte ohne Browser.
Sicherheits-Überlegungen
- HTTPS ist Pflicht.
- Kurze TTLs. Access-Tokens sollten schnell expiren (15min - 1h typisch).
- Sichere Client-Speicherung. Browser-SPAs: httpOnly secure Cookie. Mobile: Keychain/Keystore.
- Token-Revocation. Introspection- oder Revocation-Endpoint implementieren.
- Scope-Minimierung. Tokens mit dem geringsten benötigten Scope ausstellen.
- Refresh-Tokens rotieren.
- Audience- und Issuer-Validierung.
Häufige Bearer-Token-Fehler
- Tokens in localStorage in Browser-Apps speichern. XSS-Angriffe lesen localStorage.
- Tokens loggen. Server-Logs können Authorization-Headers erfassen. Ausfiltern.
- Long-lived Access-Tokens.
- Keine Refresh-Token-Rotation.
- JWT-Claims ohne Signatur-Verification trauen.
- HS256 nutzen wenn RS256 angemessen wäre.
Bearer-Token-APIs at Scale testen
- Token-Issuance ist selbst eine API. Pre-Issue Tokens oder Auth-Server mocken.
- Token-Expiry mid-Test. Refresh-Logik in Scripts implementieren.
- Per-User vs Shared Tokens. Per-VU Tokens für realistische Ergebnisse.
- Token-Revocation-Pfade testen.
FAQ: Bearer Tokens
Sind Bearer Tokens sicher?
Ja, wenn korrekt gehandhabt: nur HTTPS, kurze TTLs, sichere Client-Speicherung, Scope-Minimierung.
Was ist der Unterschied zwischen einem Bearer Token und einem JWT?
Bearer Token ist eine Kategorie — alles im Authorization: Bearer Header. JWT ist ein spezifisches Format von Bearer Token mit eingebetteten Claims und Signatur.
Wie lange sollte ein Bearer Token gültig sein?
Access-Tokens: 15 Minuten bis 1 Stunde. Refresh-Tokens: Stunden bis Tage.
Kann ich einen JWT-Bearer-Token revoken?
Nicht nativ — JWTs sind gültig bis zur Expiry. Revocation erfordert eine Denylist oder Short-TTL + Refresh-Token-Rotation-Strategie.
Was passiert, wenn mein Bearer Token gestohlen wird?
Der Dieb hat vollen Zugriff bis der Token expired. Deshalb sind kurze TTLs wichtig.
Kann ich Bearer Tokens in Browser-Apps nutzen?
Ja, aber mit Vorsicht. Speichern in httpOnly secure Cookies (nicht localStorage).
Bearer-Token-geschützte APIs mit LoadFocus testen
Wenn Sie APIs mit Bearer Tokens load-testen, läuft LoadFocus JMeter- und k6-Scripts aus 25+ Cloud-Regionen mit nativem Support für OAuth-Flows, Header-Management und Per-VU-Token-Rotation. Registrieren bei loadfocus.com/signup — keine Kreditkarte — und führen Sie Ihren ersten authentifizierten API-Lasttest in unter 5 Minuten aus.
Verwandte LoadFocus-Tools
Setze dieses Konzept mit LoadFocus in die Praxis um — derselben Plattform, die alles antreibt, was du gerade gelesen hast.