Cos'è un token di accesso?
Nei sistemi operativi per computer e altri quadri software, un token di accesso è qualsiasi struttura di dati che contiene le informazioni di sicurezza necessarie da un processo per accedere a un oggetto protetto o un altro processo che richiede l'autorizzazione. Gli oggetti sicuri sono generalmente dati nel file system con privilegi di lettura e scrittura definiti e un processo è qualsiasi altro programma o servizio che richiede l'autorizzazione per accedere alle sue funzioni. Mentre un token di accesso è semplicemente un contenitore in grado di contenere qualsiasi informazione, di solito viene utilizzato per archiviare i privilegi degli utenti.
Il concetto di token di accesso è stato principalmente concepito e utilizzato dai sistemi e programmi operativi Microsoft®, ma la loro utilizzo li ha portati altrove. L'API (Application Programming Interface) per Google descrive un metodo per utilizzare i token di accesso durante le applicazioni di programmazione che devono accedere ai dati associati all'account di un utente di Google. Alcune delle grandi piattaforme di social network utilizzano anche token di accesso nella loro API.
Fondamentalmente, quando un utente accede a un framework di sistema operativo o software, il sistema verifica l'utente e la password in un database di sicurezza e viene creato un token di accesso che identifica l'utente in qualsiasi oggetto o processo sul sistema. Eventuali processi, come applicazioni, programmi o servizi, che vengono avviati dall'utente porteranno con sé il token di accesso. Il token di accesso, quindi, deve archiviare diversi bit di dati su cui un altro programma o oggetto controlla per concedere l'accesso.
I token di accesso contengono gli identificatori di sicurezza (SID), in genere codici numerici, per l'utente, tutti i gruppi di utenti a cui appartiene l'utente e la sessione di accesso corrente. Il token contiene anche un elenco di eventuali privilegi che l'utente o i gruppi sono consentiti. Esistono un paio di diversi tipi di token di accesso, quindi il token deve anche identificare il suo tipo, primario o imitazione. UNIl token di accesso primario è il tipo standard utilizzato, ma può anche essere creato un token di imitazione per agire per conto dell'utente.
Quando viene chiamato un token di accesso a svolgere il proprio lavoro, incontra un monitor di riferimento di sicurezza (SRM), un servizio che monitora l'accesso a oggetti e processi sul sistema. L'SRM estrae il descrittore di sicurezza dell'oggetto o del processo per il confronto con il token di accesso. Il descrittore di sicurezza contiene un elenco di controllo degli accessi (ACL), in cui ciascuna voce di controllo degli accessi (ACE) definisce determinate autorizzazioni per tale oggetto o processo. Ad esempio, nel caso di un file sul sistema, il descrittore di sicurezza contiene informazioni su quali utenti o gruppi hanno l'autorizzazione per leggere o scrivere nel file. Se il token di accesso richiede l'accesso per aprire o modificare il file non corrisponde alle autorizzazioni nel descrittore di sicurezza, l'accesso non riesce e all'utente viene negato l'accesso al file.