Access token là gì?

Access token là một đoạn mã nhỏ chứa một lượng lớn dữ liệu. Thông tin về người dùng, quyền (permission), nhóm (group) và timeframe được nhúng trong một access token được truyền từ máy chủ (server) đến thiết bị của người dùng.

Rất nhiều trang web sử dụng access token. Ví dụ: nếu bạn đã từng sử dụng thông tin đăng nhập từ một trang web (như Facebook) để truy cập vào một trang web khác (như Salesforce), bạn đã sử dụng access token.

Những gì được bao gồm trong một Access Token?

Một access token thông thường có ba phần riêng biệt, tất cả đều hoạt động cùng nhau để xác minh quyền (right) truy cập tài nguyên (resource) của người dùng bao gồm: Header, Payload và Signature. Xem thêm Header, Payload và Signature.

Cách Access Token hoạt động ?

• Đăng nhập: Sử dụng tên người dùng và mật khẩu đã biết để chứng minh danh tính của bạn.
• Xác minh: Máy chủ xác thực dữ liệu và cấp access token.
• Lưu trữ: access token được gửi đến trình duyệt của bạn để lưu trữ.
• Giao tiếp: Mỗi khi bạn truy cập nội dung mới trên máy chủ (server), access token của bạn sẽ được xác minh một lần nữa.
• Xóa: Khi phiên (session) của bạn kết thúc, access token sẽ bị hủy.

Bạn cũng có thể sử dụng access token để đăng nhập một lần (SSO). Thông tin đăng nhập (credential) của bạn từ một trang web này sẽ trở thành chìa khóa của bạn để vào một trang web khác. Bạn sẽ làm theo các bước sau:

• Ủy quyền (Authorization): Bạn đồng ý sử dụng thông tin đăng nhập của mình từ một trang web để vào một trang web khác.
• Kết nối: Trang web đầu tiên kết nối trang web thứ hai và yêu cầu trợ giúp. Trang web thứ hai tạo một access token.
• Lưu trữ: Access token được lưu trữ trong trình duyệt của bạn.
• Entry: Access token từ trang web thứ hai cung cấp cho bạn quyền truy cập vào trang đầu tiên.