Passa al contenuto principale

RFC 6750 - Framework di Autorizzazione OAuth 2.0: Uso del Token Bearer

Data di pubblicazione: Ottobre 2012
Stato: Standards Track
Autori: M. Jones (Microsoft), D. Hardt (Independent)

Sommario (Abstract)

Questa specifica descrive come utilizzare i token bearer nelle richieste HTTP per accedere alle risorse protette da OAuth 2.0. Qualsiasi parte in possesso di un token bearer (un "bearer") può utilizzarlo per ottenere l'accesso alle risorse associate (senza dimostrare il possesso di una chiave crittografica). Per prevenire abusi, i token bearer devono essere protetti dalla divulgazione durante l'archiviazione e il trasporto.

Indice dei contenuti (Table of Contents)

Appendici (Appendices)

Risorse correlate

Riferimento rapido

Cos'è un token bearer?

Un token bearer è un token di sicurezza con la proprietà che qualsiasi parte in possesso del token (un "bearer") può utilizzarlo per ottenere l'accesso alle risorse associate. A differenza di altri tipi di token, l'utilizzo di un token bearer non richiede al bearer di dimostrare il possesso di materiale chiave crittografico.

Tre metodi per utilizzare i token bearer

  1. Intestazione della richiesta Authorization (Raccomandato) - Authorization: Bearer <token>
  2. Parametro del corpo codificato in form - Parametro access_token nel corpo della richiesta POST
  3. Parametro di query URI (Non raccomandato) - ?access_token=<token> nell'URL

Perché è necessaria la protezione?

Poiché chiunque possieda un token bearer può utilizzarlo, è obbligatorio:

  • ✅ Utilizzare HTTPS per la trasmissione
  • ✅ Impostare tempi di scadenza ragionevoli
  • ✅ Evitare di passare i token negli URL (vengono registrati nei log)
  • ✅ Archiviare i token in modo sicuro

Importante: Questo RFC è un documento complementare a RFC 6749 (OAuth 2.0), che definisce come utilizzare i token di accesso emessi da OAuth 2.0.

Ultimo aggiornamento il