Home

autorisatietokens

Autorisatietokens zijn tokens die door een autorisatie server worden uitgegeven om toegang te verlenen tot beveiligde resources. Ze fungeren als bewijsmiddel dat een client gemachtigd is namens een gebruiker of een systeem om bepaalde acties uit te voeren. In praktijk komen autorisatietokens vaak voor binnen OAuth 2.0 en OpenID Connect.

Types en inhoud: Er bestaan doorgaans twee hoofdtypen: access tokens en refresh tokens. Een access token authoriseert

Uitgifte en validering: Een client verkrijgt tokens via een autorisatie-stroom (bijv. authorization code met PKCE of

Beveiliging en beheer: Behandel autorisatietokens als vertrouwelijke gegevens. Gebruik TLS, beperk de levensduur, voer tokenrotatie uit,

Levenscyclus: Tokens hebben een beperkte geldigheid en kunnen vernieuwd worden met refresh tokens. Rotatie en revocatiemechanismen

Zie ook: OAuth 2.0, OpenID Connect, JWT, token-introspectie.

API-verzoeken
en
draagt
meestal
beperkte
claims
zoals
issuer,
subject,
audience,
expiration
en
de
toegekende
scopes.
Een
refresh
token
is
bedoeld
om
een
nieuwe
access
token
te
verkrijgen
zonder
opnieuw
in
te
loggen
en
heeft
doorgaans
een
langere
levensduur.
Tokens
kunnen
als
JWT
worden
uitgegeven
of
opaque
zijn;
bij
JWT
kunnen
resource
servers
de
handtekening
controleren,
bij
opaque
tokens
kan
introspectie
nodig
zijn.
client
credentials).
Tokens
worden
meegestuurd
in
de
Authorization-header
als
Bearer-tokens.
Resource
servers
valideren
de
token
via
signature-controle
of
door
naar
een
introspectie-endpoint
te
verwijzen.
implementeer
revocatie,
en
beperk
scopes.
Voor
publieke
clients
wordt
PKCE
sterk
aanbevolen.
Sla
tokens
veilig
op
en
voorkom
ongeautoriseerd
lekken.
helpen
misbruik
te
voorkomen.