Hvad er et adgangstoken?
I computeroperativsystemer og andre softwarerammer er et adgangstoken enhver datastruktur, der indeholder de sikkerhedsoplysninger, der er nødvendigt ved en proces for at få adgang til et sikret objekt eller en anden proces, der kræver tilladelse. Sikre objekter er normalt data i filsystemet med læse- og skriveprivilegier defineret, og en proces er ethvert andet program eller service, der kræver tilladelse til at få adgang til dens funktioner. Mens et adgangstoken simpelthen er en container, der er i stand til at holde oplysninger, bruges det normalt til at gemme brugerprivilegier.
Begrebet et adgangstoken blev primært udtænkt af og brugt af Microsoft® -operativsystemer og programmer, men deres brugbarhed har ført dem andre steder. Applikationsprogrammeringsgrænsefladen (API) til Google beskriver en metode til brug af adgangstokens, mens programmering af applikationer, der har brug for at få adgang til data, der er knyttet til en Google -brugers konto. Nogle af de store sociale netværksplatforme bruger også adgangstokens i deres API.
Grundlæggende, når en bruger logger på et operativsystem eller softwaresystemramme, verificerer systemet brugeren og adgangskoden i en sikkerhedsdatabase, og der oprettes et adgangstoken, der identificerer brugeren til ethvert objekt eller proces på systemet. Eventuelle processer - såsom applikationer, programmer eller tjenester - der startes af brugeren vil bære adgangstokenet med sig. Adgangstokenet skal derefter gemme flere bit af data, som et andet program eller objekt kontrollerer mod at give adgang.
Adgangstokens indeholder sikkerhedsidentifikatorer (SID), typisk numeriske koder, for brugeren, alle brugergrupper, som brugeren hører til, og den aktuelle log-on-session. Tokenet indeholder også en liste over eventuelle privilegier, som brugeren eller grupperne er tilladt. Der er et par forskellige typer adgangstokens, så tokenet er også nødt til at identificere dets type, enten primær eller efterligning. ENPrimær adgangstoken er den anvendte standardtype, men et efterligningstoken kan også oprettes til at handle på brugerens vegne.
Når et adgangstoken opfordres til at gøre sit job, støder det på en sikkerhedsreferencemonitor (SRM), en service, der overvåger adgang til objekter og processer på systemet. SRM trækker objektets sikkerhedsbeskrivelse eller proces til sammenligning med adgangstokenet. Sikkerhedsbeskrivelsen indeholder en Access Control List (ACL), hvor hver adgangskontrolindgang (ACE) definerer visse tilladelser for dette objekt eller proces. I tilfælde af en fil på systemet indeholder sikkerhedsbeskrivelsen for eksempel oplysninger om, hvilke brugere eller grupper der har tilladelse til at læse eller skrive til filen. Hvis adgangstoken, der anmoder om adgang til åben eller redigering af filen, ikke stemmer overens med tilladelserne i sikkerhedsbeskrivelsen, mislykkes Access, og brugeren nægtes adgang til filen.