Zum Hauptinhalt springen

RFC 6750 - Das OAuth 2.0-Autorisierungsframework: Bearer Token-Nutzung

Veröffentlichungsdatum: Oktober 2012
Status: Standards Track
Autoren: M. Jones (Microsoft), D. Hardt (Independent)

Zusammenfassung (Abstract)

Diese Spezifikation beschreibt, wie Bearer-Token in HTTP-Anfragen verwendet werden, um auf OAuth 2.0-geschützte Ressourcen zuzugreifen. Jede Partei, die ein Bearer-Token besitzt (ein „Bearer"), kann es verwenden, um Zugriff auf die zugehörigen Ressourcen zu erhalten (ohne den Besitz eines kryptografischen Schlüssels nachzuweisen). Um Missbrauch zu verhindern, müssen Bearer-Token bei der Speicherung und Übertragung vor Offenlegung geschützt werden.

Inhaltsverzeichnis (Table of Contents)

Anhänge (Appendices)

Verwandte Ressourcen

Schnellreferenz

Was ist ein Bearer-Token?

Ein Bearer-Token ist ein Sicherheitstoken mit der Eigenschaft, dass jede Partei, die das Token besitzt (ein „Bearer"), es verwenden kann, um auf die zugehörigen Ressourcen zuzugreifen. Im Gegensatz zu anderen Token-Typen erfordert die Verwendung eines Bearer-Tokens nicht, dass der Bearer den Besitz von kryptografischem Schlüsselmaterial nachweist.

Drei Methoden zur Verwendung von Bearer-Token

  1. Authorization-Anforderungsheader (Empfohlen) - Authorization: Bearer <token>
  2. Formular-kodierter Body-Parameter - access_token-Parameter im POST-Anforderungskörper
  3. URI-Abfrageparameter (Nicht empfohlen) - ?access_token=<token> in der URL

Warum ist Schutz erforderlich?

Da jeder, der ein Bearer-Token besitzt, es verwenden kann, muss Folgendes beachtet werden:

  • ✅ HTTPS für die Übertragung verwenden
  • ✅ Angemessene Ablaufzeiten festlegen
  • ✅ Vermeiden Sie die Übergabe von Token in URLs (sie werden protokolliert)
  • ✅ Token sicher speichern

Wichtig: Dieses RFC ist ein Begleitdokument zu RFC 6749 (OAuth 2.0) und definiert, wie von OAuth 2.0 ausgestellte Zugriffstoken verwendet werden.

Letztes Update am