Een toegangstoken is een klein stukje code dat een grote hoeveelheid data bevat. Informatie over de gebruiker, toestemmingen, groepen en tijdschema's is ingesloten in één token dat wordt doorgestuurd van een server naar het device van een gebruiker. 

Heel veel websites werken met toegangstokens. Als u bijvoorbeeld ooit inloggegevens van de ene website (zoals Facebook) hebt gebruikt om toegang te krijgen tot een andere website (zoals Salesforce), hebt u een toegangstoken gebruikt.

Wat zit er in een toegangstoken?

Een doorsnee toegangstoken bestaat uit drie onderdelen die samenwerken om het recht van een gebruiker op toegang tot een resource te verifiëren. 

De meeste toegangstokens bevatten drie hoofdelementen.

1. Header: hierin is data over het type token en het gebruikte algoritme opgenomen. 
2. Payload: hierin is informatie over de gebruiker, zoals toestemmingen en het vervallen van toestemmingen, opgenomen. 
3. Ondertekening: hierin is verificatiedata opgenomen, zodat de ontvanger de authenticiteit van het token kan controleren. Deze ondertekening is per definitie gehasht, wat hacken en repliceren moeilijk maakt. 

De payload, ook wel de claimsectie genoemd, is cruciaal voor het succes van het token. Als u toegang tot een specifieke resource op de server wilt, maar niet de juiste toestemming binnen de payload hebt gekregen, wordt die toegang niet verleend. 

Ontwikkelaars kunnen bovendien allerlei aangepaste data in de payload opnemen. Zo kan een toegangstoken van Google toegang verlenen tot meerdere applicaties (API's) en al die inloggegevens worden gespecificeerd met slechts één toegangstoken. 

Het type toegangstoken kan van website tot website verschillen. Facebook biedt bijvoorbeeld vier typen toegangstokens. Andere sites kunnen er tientallen meer hebben. 

Maar hoeveel data er ook is opgenomen, toegangstokens zijn in de regel kort. Een JSON Web Token (JWT) bestaat bijvoorbeeld uit drie Base64-URL-tekenreeksen. Dat is korter dan deze alinea.

Hoe werken toegangstokens?

Gebruikers schrijven niet hun eigen toegangscodes. Servers communiceren met devices en al het werk vindt in enkele minuten tijd plaats. 

U volgt een voorspelbare reeks stappen.

• Inloggen: gebruik een bekende gebruikersnaam en bekend wachtwoord om uw identiteit te bewijzen. 
• Verificatie: de server verifieert de data en geeft een token uit. 
• Opslag: het token wordt naar uw browser verzonden om op te slaan. 
• Communicatie: telkens wanneer u toegang zoekt tot iets nieuws op de server, wordt uw token geverifieerd. 
• Verwijderen: wanneer uw sessie voorbij is, wordt het token verwijderd. 

U kunt toegangstokens ook gebruiken voor single sign-on (SSO). Uw inloggegevens van de ene site worden uw sleutel tot een andere. Volg deze stappen:

• Autorisatie: u stemt ermee in uw inloggegevens van de ene site te gebruiken voor toegang tot een andere. 
• Verbinding: de eerste site verbindt de tweede en vraagt om hulp. De tweede site maakt een toegangstoken. 
• Opslag: het toegangstoken wordt opgeslagen in uw browser. 
• Toegang: het toegangstoken van de tweede site geeft u toegang tot de eerste. 

Verzoeken voor SSO vervallen al snel. Zoals we elders hebben uiteengezet, vervallen de meeste verzoeken binnen ongeveer 10 minuten, maar sommige sluiten het proces al na slechts 60 seconden af.

Beveiliging van toegangstokens

Toegangstokens moeten worden beveiligd omdat ze verzonden worden door de open ruimte van het internet. Organisaties die geen gebruikmaken van versleuteling of beveiligde communicatiekanalen, bieden derden de gelegenheid om tokens over te nemen, wat kan leiden tot onbevoegde toegang tot zeer gevoelige data. Het loont de moeite om uiterst voorzichtig te zijn. 

De meeste toegangstokens vervallen ook. Die eenvoudige stap zorgt ervoor dat websites zeker weten dat gebruikers nog online en actief zijn, waardoor grootschalige duplicatie of verwijdering kan worden voorkomen. Vervaldatums kunnen per organisatie verschillen. 

Bij Okta werken we met krachtige systemen om data zowel in rust als tijdens de overdracht te beveiligen. We kunnen u laten zien welke stappen u moet ondernemen om hackers af te weren. En met onze tools kunt u data snel en gemakkelijk versleutelen. Neem contact met ons op voor meer informatie.

Referenties

Google-API's openen met OAuth 2.0. (December 2020). Google-identiteit. 

Toegangstokens. Facebook voor ontwikkelaars. 

Wat Is OAuth? Hoe het Open Authorization Framework werkt. (September 2019). CSO.