OAuth アクセストークン

datatracker.ietf.org/doc/html/rfc6749#section-1.4

OAuth アクセストークンは、OAuth クライアントがリソースサーバーにリクエストを行うために使用する文字列です。

アクセストークンは特定の形式である必要はなく、実際には、さまざまな OAuth サーバーがアクセス トークン用にさまざまな形式を選択しています。

アクセストークンは「ベアラー トークン」または「送信者制約」トークンのどちらかです。送信者制約トークンでは、OAuth クライアントが、アクセス トークン自体では使用できないように、なんらかの方法で秘密鍵を所持していることを証明する必要があります。

アクセストークンの性質には、OAuth のセキュリティモデルの基本となるものが数多くあります。

• アクセストークンは、OAuth クライアントによって読み取られたり解釈されたりすることはできません。OAuth クライアントは、トークンの想定される対象ではありません。
• アクセストークンは、ユーザー ID や、ユーザーに関するその他の情報を OAuth クライアントに伝えません。
• アクセストークンは、リソースサーバーにリクエストを行うためにのみ使用されるべきです。さらに、ID トークンは、リソースサーバーにリクエストを行うために使用してはなりません。

関連

• OAuth 2.0 リフレッシュトークン
• ID トークンとアクセストークンの比較
• OAuth 2.0 ベアラー トークンの使用 (RFC 6750)
• トークン イントロスペクション (RFC 7662)
• トークン失効 (RFC 7009)
• JSON Web トークン (RFC 7519)
• アクセストークンの JWT プロファイル

その他のリソース

• 自己エンコードアクセストークン (oauth.com)
• OAuth アクセストークンの説明 (youtube.com)