Передові технології та збільшення активності користувачів в інтернеті порушили завдання щодо безпеки персональної інформації на новий рівень. Така проблематика потребує розробки та впровадження нових методів автентифікації та авторизації користувачів. Один із підходів, який став незамінним у сучасних веб-додатках та API, це токени авторизації.
Токени авторизації – це спеціальні коди, які видаються користувачеві після успішної автентифікації. Вони є унікальними строковими значеннями, які можуть бути використані для підтвердження особистості користувачів під час наступних запитів до сервера. По суті, токени авторизації є віртуальними "ключами", які дозволяють користувачам отримувати доступ до захищених ресурсів та функцій.
Принцип роботи токенів авторизації ґрунтується на використанні криптографічних алгоритмів та сучасних протоколів безпеки. Після успішної аутентифікації сервіс генерує унікальний токен для користувача і відправляє його назад на сторону клієнта. Токен зберігається на клієнтському пристрої (найчастіше як cookie або в локальному сховищі) і використовується для авторизації при подальших запитах до сервера.
| Тип токена | Опис |
|---|---|
| JWT | JSON Web Token – відкритий стандарт, який використовує JSON для передачі між двома сторонами у форматі токена. Токен складається з трьох частин: заголовка, корисного навантаження та підпису. |
| OAuth | Протокол авторизації, який дозволяє користувачам надавати доступ до своїх ресурсів без необхідності передачі пароля.Натомість програма отримує токен авторизації, який використовується для доступу до ресурсів на підставі дозволів користувача. |
| Bearer | Тип токена авторизації, який використовується для автентифікації користувача під час доступу до захищених ресурсів. Токен передається в заголовку запиту або параметрі URL і перевіряється на стороні сервера перед наданням доступу. |
| Access token | Струмок авторизації, який надає доступ до захищених ресурсів для конкретного користувача. Цей токен може мати обмежений час життя та може бути оновлений за допомогою refresh token. |
| Refresh token | Токен, який використовується для оновлення access token. Refresh token має триваліший час життя і може бути використаний для отримання нового access token без необхідності повторної авторизації користувача. |
Токен авторизації зовні схожий на USB-накопичувач (флешку), але має карту пам'яті, яка захищена паролем, на ній знаходиться інформація для генерації електронного цифрового підпису (ЕЦП). Щоб ідентифікувати себе, господар ЕЦП повинен вставити токен у USB-вхід на комп'ютері та ввести пароль.
Як працює токенізація?
Що таке токенізація При оплаті товару за допомогою токенізованої картки інтернет-магазину передаються не оригінальні банківські реквізити, а лише токен. Продавець може застосувати його для авторизації платежу, але не для отримання конфіденційних даних банківської картки. Збережена копія
Що таке авторизований токен?
Авторизаційний токен, або OAuth-токен, ― це спеціальний код, що дозволяє доступ до даних конкретного користувача. Для кожного користувача Директа, від імені якого здійснюються запити до API, необхідно отримати окремий токен.
Чому дорівнює один токен?
Поточна ціна One Token складає ₽ 0.848434 за (ONE/RUB) за поточної ринкової капіталізації RUB — ₽ 0.
