OAuth 访问令牌

datatracker.ietf.org/doc/html/rfc6749#section-1.4

OAuth 访问令牌是 OAuth 客户端用来向资源服务器发出请求的字符串。

访问令牌不必采用任何特定格式，事实上，各种 OAuth 服务器为其访问令牌选择了许多不同的格式。

访问令牌可能是“持有者令牌”或“发件人受限制”令牌。发件人受限令牌要求 OAuth 客户端以某种方式证明拥有私钥才能使用访问令牌，这样访问令牌本身将不可用。

OAuth 安全模型中有一些访问令牌属性至关重要。

• 访问令牌不得由 OAuth 客户端读取或解释。OAuth 客户端不是令牌的目标受众。
• 访问令牌不会向 OAuth 客户端传达用户身份或任何其他有关用户的信息。
• 访问令牌仅应用于向资源服务器发出请求。此外，ID 令牌不能用于向资源服务器发出请求。

相关

• OAuth 2.0 刷新令牌
• ID 令牌与访问令牌
• OAuth 2.0 持有者令牌使用（RFC 6750）
• 令牌自省（RFC 7662）
• 令牌吊销（RFC 7009）
• JSON Web 令牌（RFC 7519）
• 访问令牌的 JWT 配置

更多资源

• 自编码访问令牌 (oauth.com)
• OAuth 访问令牌说明 (youtube.com)