En informática, un token de acceso personal (o PAT ) es una cadena de caracteres que se puede utilizar para autenticar a un usuario cuando accede a un sistema informático en lugar de la contraseña habitual . [1] [2] [3] [4] Aunque estén asociados a una sola cuenta, se pueden crear varios PAT y se pueden manipular independientemente de la contraseña asociada a esa cuenta, incluida la creación y revocación de PAT sin alterar la contraseña. El PAT suele ser generado automáticamente por el sistema remoto, por ejemplo, como una cadena de 52 caracteres alfanuméricos . Normalmente, los permisos también se pueden ajustar para cada PAT individualmente, permitiendo o restringiendo el acceso a ciertas clases de datos o funciones en el sistema remoto. Estos permisos normalmente se pueden ajustar solo después de autenticarse con la contraseña. Esta puede ser una forma útil de delegación de autorización , por ejemplo, al crear programas que accederán al sistema remoto. El PAT normalmente se almacenará en una ubicación accesible para el programa y, por lo tanto, no suele ser tan seguro como una contraseña. Si el programa o PAT se ve comprometido , el daño estará limitado por los permisos disponibles para ese PAT, y el PAT en sí puede revocarse fácilmente para evitar una mayor explotación.
Si el token es un token JWT , puede usar la afirmación exp [5] para declarar un tiempo de expiración y la afirmación jti [6] para declarar un identificador único para el JWT que puede usarse para revocarlo.