RFC 6750 - OAuth 2.0授权框架: Bearer令牌使用

发布日期: 2012年10月
状态: 标准跟踪协议 (Standards Track)
作者: M. Jones (Microsoft), D. Hardt (Independent)

---

摘要 (Abstract)

本规范描述了如何在HTTP请求中使用持有者令牌 (Bearer Token) 访问OAuth 2.0保护的资源。任何拥有持有者令牌的一方("持有者")都可以使用它来访问相关资源(无需证明拥有加密密钥)。为了防止滥用,持有者令牌需要在存储和传输中受到保护,避免泄露。

---

目录 (Table of Contents)

• 1. Introduction (简介)
  • 1.1 Notational Conventions (符号约定)
  • 1.2 Terminology (术语)
  • 1.3 Overview (概述)
• 2. Authenticated Requests (认证请求)
  • 2.1 Authorization Request Header Field (授权请求头字段)
  • 2.2 Form-Encoded Body Parameter (表单编码的Body参数)
  • 2.3 URI Query Parameter (URI查询参数)
• 3. The WWW-Authenticate Response Header Field (WWW-Authenticate响应头字段)
  • 3.1 Error Codes (错误码)
• 4. Example Access Token Response (访问令牌响应示例)
• 5. Security Considerations (安全考虑)
  • 5.1 Security Threats (安全威胁)
  • 5.2 Threat Mitigation (威胁缓解)
  • 5.3 Summary of Recommendations (建议总结)
• 6. IANA Considerations (IANA考虑)
  • 6.1 OAuth Access Token Type Registration
  • 6.2 OAuth Extensions Error Registration
• 7. References (参考文献)
  • 7.1 Normative References (规范性参考文献)
  • 7.2 Informative References (信息性参考文献)

附录 (Appendices)

• Appendix A. Acknowledgements (致谢)

---

相关资源

• 官方原文: RFC 6750 (TXT)
• 官方页面: RFC 6750 DataTracker
• 配套文档: RFC 6749 - OAuth 2.0授权框架
• 勘误表: RFC Editor Errata

---

核心概念速览

Bearer Token是什么?

持有者令牌 (Bearer Token) 是一种访问令牌,任何持有该令牌的一方都可以使用它,就像"持有者"一样。这与其他类型的令牌不同,其他令牌可能需要证明拥有特定的加密密钥。

三种使用方式

1. Authorization请求头 (推荐) - Authorization: Bearer <token>
2. 表单编码的Body参数 - POST请求体中的access_token参数
3. URI查询参数 (不推荐) - URL中的?access_token=<token>

为什么需要保护?

因为任何人拿到Bearer Token都可以使用,所以必须:

• ✅ 使用HTTPS传输
• ✅ 设置合理的过期时间
• ✅ 避免在URL中传递(会被记录在日志中)
• ✅ 安全存储令牌

---

重要提示: 本RFC是RFC 6749 (OAuth 2.0)的配套文档,定义了如何使用OAuth 2.0颁发的访问令牌。