アクセストークン 【access token】
概要
アクセストークン(access token)とは、クライアントがサーバにAPIを通じて要求を行う際に、クライアントが確かに特定の利用者の権限に基づいて要求を行っていることを示す資格情報のこと。ネットサービスなどでは、サーバがネットワークを通じて外部から接続を受け付け、特定のデータ形式や手順に基づいて情報や機能を提供する「API」(Application Programming Interface)の仕組みが実装されていることがある。
インターネットなどのオープンな環境では、あるクライアントがある利用者についての情報などをサーバに要求した際、それが本当に利用者の操作に基づくものなのか、悪意のある第三者が不正に情報を入手しようとしてアクセスしているのかを判別できなくてはならない。
この問題を解決するのがアクセストークンで、クライアントはAPIへ接続する前にサービス側が運営している認可サーバにアクセスし、アクセストークンを請求する。認可サーバは利用者に発行の可否を確認し、許可を得たらクライアントにトークンを引き渡す。クライアントはAPIへの要求時にアクセストークンを提示すれば、利用者の意志に基づくアクセスであることが証明できる。
アクセストークンには、単に一意の識別のためだけに発行され、ランダムな英数字などを組み合わせた意味のある情報を含まない形式のものと、JWT(JSON Web Token)などのデータ形式に基づいてトークン自体に加え何らかの付加的な情報(検証用のデジタル署名など)を添付したものものがある。
アクセストークンには短時間の有効期限が設定される場合が多く、期限切れになると新たにトークンの発行を受ける必要がある。トークンにはパスワードなどユーザー認証のために必要な情報は含まれず、盗み取られても不正にログインされてアカウントを乗っ取られるといった被害には至らない。
インターネット上でWeb APIを利用するためのアクセストークンの発行には、「OAuth」という標準規格が用いられることが多い。これにより、運営主体が異なるサービス間でも利用者の求めに応じてアクセストークンを発行し、連携して情報や機能を提供することができる。
共有ボタンをタップ