アクセストークン
ナビゲーションに移動
検索に移動
アクセストークン(英語:Access Token)とは、ユーザーを識別するための文字列のことである。
概要[編集 | ソースを編集]
アクセストークンは大雑把にいえば「パスワード」と「セッションID」の中間的なものである。
アクセストークンを用いる通信は、クライアントからサーバーへ通信する際にパスワードを毎回送信するようなものである。
ただし、いわゆるパスワードでは漏洩した際のダメージが大きいため、ログインする時以外はログイン時に発行されたアクセストークンを用いる。これだけ見るとセッションIDとまったく同じだ。
アクセストークンとセッションIDの大きな違いは、アクセストークンでは「サーバー側でセッション(データ)を保持しない」点にある。アクセストークンはあくまでパスワードの代わりであり、通信するたびに毎回ログインするような感じになる。データを保存したければちゃんとデータベースに入れろという考えである。
これにより「セッション切れ」の処理が不要となり、また「どこにセッションデータがあるか」を考えなくて良いのでロードバランサーの設置が容易になる。なので同時接続数が1万を超えたあたりからセッションではきつくなってくるが、アクセストークンなら余裕でさばけると言われている。