Co je token přístupu?
V počítačových operačních systémech a dalších softwarových rámcích je přístupový token jakákoli datová struktura, která obsahuje bezpečnostní informace potřebné procesem pro přístup k zabezpečenému objektu nebo jinému procesu, který vyžaduje autorizaci. Zabezpečené objekty jsou obvykle data v souborovém systému s definovanými oprávněními čtení a zápisu a proces je jakýkoli jiný program nebo služba, která vyžaduje autorizaci pro přístup k jeho funkcím. Zatímco přístupový token je jednoduše kontejnerem, který je schopen držet jakékoli informace, obvykle se používá k ukládání uživatelských oprávnění.
Koncept přístupového tokenu byl primárně koncipován a používán operačními systémy Microsoft®, ale jejich užitečnost je přenesla jinde. Rozhraní programování aplikací (API) pro Google popisuje metodu pro používání přístupových tokenů při programování aplikací, které potřebují přístup k datům spojeným s účtem uživatele Google. Některé z velkých platforem sociálních sítí také používají přístupové tokeny ve svém API.
V zásadě, když se uživatel přihlásí do rámce operačního systému nebo softwarového systému, systém ověří uživatele a heslo v bezpečnostní databázi a je vytvořen přístupový token, který identifikuje uživatele na jakýkoli objekt nebo proces v systému. Jakékoli procesy - jako jsou aplikace, programy nebo služby -, které zakládají uživatel, přenese s sebou přístupový token. Přístupový token tedy musí uložit několik bitů dat, které kontroluje jiný program nebo objekty proti udělení přístupu.
Přístupové tokeny obsahují identifikátory zabezpečení (SID), obvykle numerické kódy, pro uživatele, jakékoli skupiny uživatelů, do kterých uživatel patří, a aktuální relaci přihlášení. Token také obsahuje seznam všech oprávnění, které je uživatel nebo skupiny povolen. Existuje několik různých typů přístupových tokenů, takže token musí také identifikovat jeho typ, ať už primární nebo předstírání. APrimární přístupový token je standardní typ používaný, ale může být také vytvořen předběžný token, aby jednal jménem uživatele.
Když je povolán přístupový token, aby vykonával svou práci, narazí na bezpečnostní referenční monitor (SRM), službu, která monitoruje přístup k objektům a procesům v systému. SRM vytáhne deskriptor zabezpečení objektu nebo procesu pro srovnání s přístupovým tokenem. Deskriptor zabezpečení obsahuje seznam řízení přístupu (ACL), kde každá položka řízení přístupu (ACE) definuje určitá oprávnění pro tento objekt nebo proces. Například v případě souboru v systému obsahuje popisovač zabezpečení informace o tom, které uživatelé nebo skupiny mají oprávnění ke čtení nebo zápisu do souboru. Pokud se přístupový token požadující přístup k otevření nebo úpravě, soubor neodpovídá oprávnění v deskriptoru zabezpečení, selže přístup a uživateli je odepřen přístup k souboru.