OAuth 存取權杖

datatracker.ietf.org/doc/html/rfc6749#section-1.4

OAuth 存取權杖是由 OAuth 用戶端用於對資源伺服器提出請求的字串。

存取權杖不一定要採用任何特定格式；實際上，各種 OAuth 伺服器都為其存取權杖選擇了許多不同的格式。

存取權杖可以是「持有人權杖」或「發訊者限制」權杖。發訊者限制權杖要求 OAuth 用戶端以某種方式證明擁有私密金鑰才能使用存取權杖，因此存取權杖本身無法使用。

存取權杖具有許多特性，而這些特性是 OAuth 安全模型的基礎

• OAuth 用戶端不得閱讀或詮釋存取權杖。OAuth 用戶端並非權杖的預定接收者。
• 存取權杖不會向 OAuth 用戶端傳達使用者身分或任何其他使用者相關資訊。
• 存取權杖只能用於對資源伺服器提出請求。此外，ID 權杖不可用於對資源伺服器提出請求。

相關資訊

• OAuth 2.0 更新權杖
• ID 權杖與存取權杖
• OAuth 2.0 持有人權杖使用方式 (RFC 6750)
• 權杖自省 (RFC 7662)
• 權杖撤銷 (RFC 7009)
• JSON 網路權杖 (RFC 7519)
• 適用於存取權杖的 JWT 設定檔

更多資源

• 自編碼存取權杖（oauth.com）
• OAuth 存取權杖說明（youtube.com）