O que é um token de acesso?
Nos sistemas operacionais de computadores e outras estruturas de software, um token de acesso é qualquer estrutura de dados que contém as informações de segurança necessárias para um processo para acessar um objeto protegido ou outro processo que requer autorização. Objetos seguros são geralmente dados no sistema de arquivos com os privilégios de leitura e gravação definidos, e um processo é qualquer outro programa ou serviço que requer autorização para acessar suas funções. Enquanto um token de acesso é simplesmente um contêiner capaz de armazenar qualquer informação, geralmente é usado para armazenar privilégios de usuário.
O conceito de um token de acesso foi principalmente concebido e utilizado pelos sistemas operacionais e programas da Microsoft®, mas sua utilidade os levou a outros lugares. A API (interface de programação de aplicativos) do Google descreve um método para usar tokens de acesso ao programar aplicativos que precisam acessar dados associados à conta de um usuário do Google. Algumas das grandes plataformas de redes sociais também usam tokens de acesso em sua API.
Basicamente, quando um usuário efetua login em uma estrutura de sistema operacional ou de software, o sistema verifica o usuário e a senha em um banco de dados de segurança e é criado um token de acesso que identifica o usuário para qualquer objeto ou processo no sistema. Quaisquer processos - como aplicativos, programas ou serviços - iniciados pelo usuário levarão o token de acesso com eles. O token de acesso, portanto, precisa armazenar vários bits de dados que outro programa ou objeto verifica para conceder acesso.
Os tokens de acesso contêm os identificadores de segurança (SID), geralmente códigos numéricos, para o usuário, quaisquer grupos de usuários aos quais o usuário pertence e a sessão de logon atual. O token também contém uma lista de privilégios permitidos ao usuário ou grupos. Existem alguns tipos diferentes de tokens de acesso; portanto, o token também precisa identificar seu tipo, principal ou de representação. Um token de acesso primário é o tipo padrão usado, mas também pode ser criado um token de representação para agir em nome do usuário.
Quando um token de acesso é chamado para realizar seu trabalho, ele encontra um SRM (Security Reference Monitor), um serviço que monitora o acesso a objetos e processos no sistema. O SRM exibe o descritor de segurança do objeto ou processo para comparação com o token de acesso. O descritor de segurança contém uma lista de controle de acesso (ACL), em que cada entrada de controle de acesso (ACE) define determinadas permissões para esse objeto ou processo. Por exemplo, no caso de um arquivo no sistema, o descritor de segurança contém informações sobre quais usuários ou grupos têm permissão para ler ou gravar no arquivo. Se o token de acesso que solicita acesso para abrir ou editar o arquivo não corresponder às permissões no descritor de segurança, o acesso falhará e o usuário terá acesso negado ao arquivo.