¿Qué es un token de acceso?

En los sistemas operativos de computadora y otros marcos de software, un token de acceso es cualquier estructura de datos que contenga la información de seguridad que necesita un proceso para acceder a un objeto seguro u otro proceso que requiere autorización. Los objetos seguros suelen ser datos en el sistema de archivos con privilegios de lectura y escritura definidos, y un proceso es cualquier otro programa o servicio que requiera autorización para acceder a sus funciones. Si bien un token de acceso es simplemente un contenedor capaz de mantener cualquier información, generalmente se usa para almacenar los privilegios de los usuarios.

El concepto de un token de acceso fue concebido principalmente y utilizado por los sistemas y programas operativos de Microsoft®, pero su utilidad los ha llevado a otros lugares. La interfaz de programación de aplicaciones (API) para Google describe un método para usar tokens de acceso mientras se programan aplicaciones que necesitan acceder a los datos asociados con una cuenta de usuario de Google. Algunas de las grandes plataformas de redes sociales también utilizan tokens de acceso en su API.

Básicamente, cuando un usuario inicia sesión en un sistema de sistema operativo o marco del sistema de software, el sistema verifica el usuario y la contraseña en una base de datos de seguridad, y se crea un token de acceso que identifica al usuario a cualquier objeto o proceso en el sistema. Cualquier proceso, como aplicaciones, programas o servicios, que inician el usuario llevará el token de acceso con ellos. El token de acceso, entonces, debe almacenar varios bits de datos con los que otro programa u objeto verifica para otorgar acceso.

Los tokens de acceso contienen los identificadores de seguridad (SID), típicamente códigos numéricos, para el usuario, cualquier grupo de usuario a los que pertenece el usuario y la sesión de inicio de sesión actual. El token también contiene una lista de cualquier privilegio que el usuario o los grupos estén permitidos. Hay un par de tipos diferentes de tokens de acceso, por lo que el token también necesita identificar su tipo, ya sea primario o suplantación. AEl token de acceso primario es el tipo estándar utilizado, pero también se puede crear un token de suplantación para actuar en nombre del usuario.

Cuando se llama a un token de acceso que haga su trabajo, encuentra un monitor de referencia de seguridad (SRM), un servicio que monitorea el acceso a objetos y procesos en el sistema. El SRM extrae el descriptor de seguridad del objeto o proceso para comparar con el token de acceso. El descriptor de seguridad contiene una lista de control de acceso (ACL), donde cada entrada de control de acceso (ACE) define ciertos permisos para ese objeto o proceso. Por ejemplo, en el caso de un archivo en el sistema, el descriptor de seguridad contiene información sobre qué usuarios o grupos tienen permiso para leer o escribir en el archivo. Si el token de acceso que solicita acceso para abrir o editar el archivo no coincide con los permisos en el descriptor de seguridad, el acceso falla y se le niega el acceso al archivo al archivo.