Wat is een toegangstoken?
In computerbesturingssystemen en andere softwarekaders is een toegangstoken elke gegevensstructuur die de beveiligingsinformatie bevat die nodig is van een proces om toegang te krijgen tot een beveiligd object of een ander proces dat autorisatie vereist. Veilige objecten zijn meestal gegevens in het bestandssysteem met gedefinieerde lees- en schrijfrechten, en een proces is een ander programma of service dat autorisatie vereist om toegang te krijgen tot zijn functies. Hoewel een toegang token gewoon een container is die in staat is om informatie te bewaren, wordt het meestal gebruikt om gebruikersrechten op te slaan.
Het concept van een toegang token werd voornamelijk bedacht en gebruikt door Microsoft® -besturingssystemen en -programma's, maar hun bruikbaarheid heeft ze elders gedragen. De Application Programming Interface (API) voor Google beschrijft een methode voor het gebruik van toegangstokens tijdens het programmeren van applicaties die toegang moeten hebben tot gegevens die zijn gekoppeld aan het account van een Google -gebruiker. Sommige van de grote sociale netwerkplatforms gebruiken ook toegangstokens in hun API.
In principe, wanneer een gebruiker zich aanmeldt bij een besturingssysteem of softwaresysteemraamwerk, verifieert het systeem de gebruiker en het wachtwoord in een beveiligingsdatabase en wordt een toegang token gemaakt die de gebruiker identificeert naar elk object of proces op het systeem. Alle processen - zoals applicaties, programma's of services - die door de gebruiker worden gestart, dragen het toegangstoken bij zich. Het toegangstoken moet dan verschillende stukjes gegevens opslaan waartegen een ander programma of objectcontroles tegen toegang tot toegang.
Toegangstokens bevatten de beveiligingsidentifiers (SID), meestal numerieke codes, voor de gebruiker, alle gebruikersgroepen waartoe de gebruiker behoort, en de huidige inlogsessie. Het token bevat ook een lijst met eventuele privileges die de gebruiker of groepen zijn toegestaan. Er zijn een paar verschillende soorten toegang tokens, dus het token moet ook het type, hetzij primaire of imitatie identificeren. APrimaire toegang token is het gebruikte standaardtype, maar een imitatietoken kan ook worden gemaakt om namens de gebruiker te handelen.
Wanneer een toegang token wordt opgeroepen om zijn werk te doen, komt het een beveiligingsreferentiemonitor (SRM) tegen, een service die de toegang tot objecten en processen op het systeem bewaakt. De SRM trekt de beveiligingsbeschrijving van het object of proces op voor vergelijking met het toegangstoken. De beveiligingsbeschrijving bevat een toegangscontrolelijst (ACL), waarbij elke toegangscontrole (ACE) bepaalde machtigingen voor dat object of proces definieert. In het geval van een bestand op het systeem bevat de beveiligingsbeschrijving bijvoorbeeld informatie over welke gebruikers of groepen toestemming hebben om het bestand te lezen of te schrijven. Als het toegang token om toegang te vragen om het bestand te openen of te bewerken niet overeenkomt met de machtigingen in de beveiligingsbeschrijving, mislukt de toegang en wordt de gebruiker de toegang tot het bestand geweigerd.