PrepBro
← Назад к вопросам

Что такое Access Token?

2.3 Middle🔥 122 комментариев
#Теория тестирования

Комментарии (2)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое Access Token (Токен доступа)?

Access Token — это строка символов, представляющая собой учетные данные для авторизации, которые выдаются клиенту (например, веб-приложению, мобильному приложению) после успешной аутентификации пользователя. Токен подтверждает, что клиент имеет право на доступ к определенным защищенным ресурсам (например, API, данным пользователя) от имени этого пользователя, без необходимости каждый раз передавать логин и пароль. Это фундаментальный компонент современных протоколов авторизации, таких как OAuth 2.0 и OpenID Connect.

Ключевые характеристики и назначение токена доступа

  • Учетные данные для доступа: Токен — это "ключ" к защищенным ресурсам. Клиент передает его в заголовке HTTP-запроса (обычно Authorization: Bearer <token>) к серверу ресурсов (Resource Server).
  • Ограниченная область действия (Scope): Токен выдается для конкретных разрешений или "областей" (scopes), например, read:contacts, write:files. Это реализует принцип минимальных привилегий.
  • Временный характер: Access Tokens имеют ограниченный срок жизни (от нескольких минут до нескольких часов). Это снижает риски в случае утечки токена.
  • Не требует хранения паролей: Клиентскому приложению не нужно знать или хранить пароль пользователя, что повышает общую безопасность.
  • Самодостаточность (в случае JWT): Многие токены реализованы как JWT (JSON Web Token), которые несут в себе закодированный набор утверждений (claims) о пользователе и разрешениях. Это позволяет серверу ресурсов проверять токен без немедленного обращения к серверу авторизации.

Типичный жизненный цикл Access Token в OAuth 2.0

  1. Аутентификация пользователя: Пользователь входит в систему через сервер авторизации (Authorization Server).
  2. Получение разрешения: Пользователь дает согласие клиентскому приложению на доступ к своим ресурсам с определенными scope.
  3. Выдача токена: Сервер авторизации выдает клиенту Access Token (и часто Refresh Token).
  4. Доступ к ресурсу: Клиент использует токен для запросов к API. 
    GET /api/v1/profile HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
  5. Валидация токена: Сервер ресурсов проверяет подпись, срок действия и scope токена.
  6. Истечение срока действия: После истечения срока жизни токен становится недействительным. Для получения нового Access Token клиент использует Refresh Token (если он был выдан), не требуя повторного ввода учетных данных от пользователя.

Структура JWT (распространенный формат Access Token)

JWT состоит из трех частей, разделенных точками: Header.Payload.Signature.

// Заголовок (Header) - алгоритм и тип токена
{
  "alg": "HS256",
  "typ": "JWT"
}

// Полезная нагрузка (Payload) - утверждения (claims)
{
  "sub": "1234567890",        // Subject (идентификатор пользователя)
  "name": "John Doe",
  "scope": "read write",      // Предоставленные разрешения
  "iat": 1516239022,          // Время выдачи (issued at)
  "exp": 1516242622           // Срок действия (expiration time)
}

// Подпись (Signature) - создается путем кодирования header и payload с использованием секретного ключа.
// Например: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

Взгляд QA Engineer: что важно тестировать?

Как инженер по обеспечению качества, я должен гарантировать не только функциональность, но и безопасность работы с токенами. Ключевые области тестирования включают:

  • Валидные сценарии:
    *   Успешный запрос ресурса с корректным токеном.
    *   Корректная обработка scope: токен с scope `read` не должен позволять выполнять запросы на запись (`write`).
  • Негативные сценарии и безопасность:
    *   **Просроченный токен:** API должен возвращать код состояния **401 Unauthorized**.
    *   **Неверный/поддельный токен:** API должен возвращать **401 Unauthorized**.
    *   **Отсутствие токена:** **401 Unauthorized**.
    *   **Несоответствие scope:** Запрос с действительным токеном, но без необходимого scope, должен возвращать **403 Forbidden**.
    *   **Попытка использовать токен для другого пользователя/ресурса:** Должна быть заблокирована.
    *   **Утечка токена:** Проверка, что токен передается только по защищенному соединению (**HTTPS**). Тестирование на уязвимости, которые могут привести к перехвату токена (например, XSS).
    *   **Хранение токена на клиенте:** Для мобильных и веб-приложений важно проверить безопасное хранение (Secure Storage, Keychain, не в `localStorage` для критичных данных).
  • Работа с Refresh Token:
    *   Успешное обновление пары токенов по истечении срока действия Access Token.
    *   Однократное использование Refresh Token (после применения он должен инвалидироваться).
    *   Реакция на просроченный или скомпрометированный Refresh Token.

Итог: Access Token — это краеугольный камень безопасного делегированного доступа в современных приложениях. Для QA Engineer понимание его работы, жизненного цикла и связанных уязвимостей критически важно для построения эффективных тестов безопасности, выходящих за рамки позитивных сценариев и направленных на защиту данных пользователей и целостности системы.

Что такое Access Token? | PrepBro