Bearer Token คืออะไร?
หมายเลขโทเค็นผู้ถือคือประเภทของโทเค็นการเข้าถึงที่ใช้ใน OAuth 2.0 เพื่ออนุญาตการเข้าถึงทรัพยากรที่ได้รับการป้องกัน บทความนี้อธิบายแนวคิด การใช้งาน และผลกระทบต่อความปลอดภัยของโทเค็นผู้ถือในการรับรอง API
เข้าใจโทเค็นแบรีย์
โทเค็นแบรีย์ (Bearer Token) เป็นประเภทของโทเค็นการเข้าถึงที่ใช้ในกรอบการรับรองตัวตน OAuth 2.0 เพื่อให้สิทธิ์ในการเข้าถึงทรัพยากรที่ถูกป้องกัน โทเค็นแบรีย์ถูกออกโดยเซิร์ฟเวอร์การรับรองและถูกนำมาใช้ในคำขอ HTTP เพื่อรับรองตัวตนของไคลเอนต์ที่ทำการร้องขอ
การทำงานของโทเค็นแบรีย์
เมื่อไคลเอนต์ต้องการเข้าถึงทรัพยากรที่ถูกป้องกัน จะส่งคำขอไปยังเซิร์ฟเวอร์การรับรองเพื่อขอโทเค็นแบรีย์ โทเค็นนี้จะถูกนำมาใช้ในส่วนหัวการรับรองตัวตนของคำขอ HTTP ที่ต่อมา:
Authorization: Bearer <token>เซิร์ฟเวอร์จะทำการตรวจสอบความถูกต้องของโทเค็นเพื่อให้แน่ใจว่าไคลเอนต์มีสิทธิ์ในการเข้าถึงทรัพยากร
การขอโทเค็นแบรีย์
เพื่อขอโทเค็นแบรีย์ ไคลเอนต์จำเป็นต้องรับรองตัวตนกับเซิร์ฟเวอร์การรับรองก่อน โดยใช้ข้อมูลประจำตัวเช่นชื่อผู้ใช้และรหัสผ่านหรือไอดีของไคลเอนต์และรหัสลับ หลังจากการรับรองตัวตนสำเร็จ เซิร์ฟเวอร์จะออกโทเค็นแบรีย์ให้
ผลกระทบต่อความปลอดภัยของโทเค็นแบรีย์
โทเค็นแบรีย์เป็นวิธีการจัดการควบคุมการเข้าถึงที่ง่ายและมีประสิทธิภาพ แต่มีข้อควรระวังด้านความปลอดภัยดังนี้:
การหมดอายุของโทเค็น
โทเค็นแบรีย์มักจะมีเวลาหมดอายุ การให้โทเค็นมีอายุจำกัดจะลดค