Co to jest token dostępu?
W komputerowych systemach operacyjnych i innych ramach oprogramowania token dostępu to dowolna struktura danych zawierająca informacje dotyczące bezpieczeństwa potrzebne procesowi w celu uzyskania dostępu do zabezpieczonego obiektu lub innego procesu wymagającego autoryzacji. Bezpieczne obiekty to zwykle dane w systemie plików ze zdefiniowanymi uprawnieniami do odczytu i zapisu, a procesem jest każdy inny program lub usługa, które wymagają autoryzacji w celu uzyskania dostępu do swoich funkcji. Chociaż token dostępu jest po prostu kontenerem zdolnym do przechowywania dowolnych informacji, zwykle służy do przechowywania uprawnień użytkownika.
Koncepcja tokena dostępu została stworzona i wykorzystywana głównie przez systemy operacyjne i programy Microsoft®, ale ich przydatność niosła je gdzie indziej. Interfejs programowania aplikacji (API) dla Google opisuje metodę używania tokenów dostępu podczas programowania aplikacji, które potrzebują dostępu do danych powiązanych z kontem użytkownika Google. Niektóre duże platformy sieci społecznościowych również używają tokenów dostępu w swoim interfejsie API.
Zasadniczo, gdy użytkownik loguje się do systemu operacyjnego lub struktury systemu oprogramowania, system weryfikuje użytkownika i hasło w bazie danych bezpieczeństwa i tworzony jest token dostępu, który identyfikuje użytkownika do dowolnego obiektu lub procesu w systemie. Wszelkie procesy - takie jak aplikacje, programy lub usługi - uruchamiane przez użytkownika będą nosić przy sobie token dostępu. Token dostępu musi zatem przechowywać kilka bitów danych, które sprawdza inny program lub obiekt, aby przyznać dostęp.
Tokeny dostępu zawierają identyfikatory zabezpieczeń (SID), zwykle kody numeryczne, dla użytkownika, dowolnych grup użytkowników, do których użytkownik należy, oraz bieżącą sesję logowania. Token zawiera również listę wszelkich uprawnień, które użytkownik lub grupy są dozwolone. Istnieje kilka różnych rodzajów tokenów dostępu, więc token musi również zidentyfikować jego typ, podstawowy lub personifikację. Podstawowym tokenem dostępu jest używany typ standardowy, ale token personifikacji można również utworzyć, aby działał w imieniu użytkownika.
Gdy token dostępu jest wywoływany w celu wykonania swojej pracy, napotyka monitor bezpieczeństwa odniesienia (SRM), usługę, która monitoruje dostęp do obiektów i procesów w systemie. SRM pobiera deskryptor bezpieczeństwa obiektu lub procesu w celu porównania z tokenem dostępu. Deskryptor bezpieczeństwa zawiera listę kontroli dostępu (ACL), w której każda pozycja kontroli dostępu (ACE) definiuje określone uprawnienia dla tego obiektu lub procesu. Na przykład w przypadku pliku w systemie deskryptor bezpieczeństwa zawiera informacje o tym, którzy użytkownicy lub grupy mają uprawnienia do odczytu lub zapisu do pliku. Jeśli token dostępu żądający dostępu do otwarcia lub edycji pliku nie jest zgodny z uprawnieniami w deskryptorze zabezpieczeń, dostęp nie powiedzie się, a użytkownikowi odmówiono dostępu do pliku.