ไทย
  • โทเค็นการเข้าถึงส่วนบุคคล
  • การยืนยันตัวตน

ทำให้การยืนยันตัวตน API ง่ายขึ้นด้วยโทเค็นการเข้าถึงส่วนบุคคล — โทเค็น API ที่ปลอดภัยมากขึ้น

อธิบายว่าโทเค็นการเข้าถึงส่วนบุคคล (PATs) ทำงานอย่างไร ควรใช้เมื่อใด วิธีสนับสนุนคุณลักษณะของ PAT ในบริการของคุณ และแตกต่างจากคีย์ API โทเค็น API โทเค็น Bearer โทเค็น OAuth และรหัสผ่านอย่างไร

Ran
Ran
Product & Design

หยุดเสียเวลาเป็นสัปดาห์กับการยืนยันตัวตนผู้ใช้
เปิดตัวแอปที่ปลอดภัยเร็วขึ้นด้วย Logto ผสานการยืนยันตัวตนผู้ใช้ภายในไม่กี่นาทีและมุ่งเน้นที่ผลิตภัณฑ์หลักของคุณ
เริ่มต้นใช้งาน
Product screenshot

โทเค็นการเข้าถึงส่วนบุคคล (PATs) คือโทเค็นที่ผู้ใช้สร้างขึ้นมาเพื่อทดแทนรหัสผ่านในการเรียก API ออกแบบมาสำหรับผู้ใช้เฉพาะ PATs มอบการเข้าถึงทรัพยากรที่ปลอดภัยและควบคุมได้

การรับรองตัวตนที่ไร้ความยุ่งยาก การควบคุมการเข้าถึงที่ละเอียดอ่อน การดำเนินงานที่คล่องตัว นี่เป็นเพียงเหตุผลเพียงไม่กี่ข้อที่นักพัฒนาและทีมผลิตภัณฑ์ทั่วโลกไว้วางใจโทเค็นการเข้าถึงส่วนบุคคลเพื่อเพิ่มประสิทธิภาพการทำงาน ไม่ว่าจะเป็นการจัดการท่อส่ง CI/CD การรวม API หรือการเข้าถึงเครื่องมือ

สงสัยว่า PATs ทำงานอย่างไร ข้อดีของพวกเขาคืออะไร หรือควรใช้เมื่อใด? คำแนะนำนี้มีคำตอบให้คุณ

โทเค็นการเข้าถึงส่วนบุคคลคืออะไร?

โทเค็นการเข้าถึงส่วนบุคคลเป็นวิธีการยืนยันตัวตนแบบชั่วคราวที่ปลอดภัยในการเข้าถึงทรัพยากรและบริการส่วนบุคคลของคุณผ่าน API เป็นที่ใช้หลักโดยนักพัฒนาเพื่อทำให้การเข้าถึง API หรือการดำเนินงานทำงานง่ายขึ้นและมีประสิทธิภาพมากขึ้น

จงคิดว่าโทเค็นการเข้าถึงส่วนบุคคลเป็น "กุญแจ" สำหรับการเข้าถึง API แทนที่ความจำเป็นของรหัสผ่าน ต่างจากรหัสผ่าน PATs มีการอนุญาตที่จำเพาะและวันหมดอายุ เพื่อให้แน่ใจว่าพวกเขาจะถูกใช้ตามวัตถุประสงค์ที่ตั้งใจไว้ เช่น การเข้าถึงโปรไฟล์ผู้ใช้หรือระบบการเรียกเก็บเงิน แต่ไม่ใช่การควบคุมผู้ดูแลระบบ

คุณสมบัติหลักของโทเค็นการเข้าถึงส่วนบุคคล:

  • เหมาะสำหรับนักพัฒนา: โทเค็นการเข้าถึงส่วนบุคคลจัดการได้ง่ายกว่ากระบวนการ OAuth แบบเต็มรูปแบบ ทำให้เหมาะสำหรับสคริปต์ การดำเนินงานอัตโนมัติ หรือท่อส่ง CI/CD
  • หลายโทเค็น: ผู้ใช้สามารถสร้างและจัดการโทเค็นการเข้าถึงส่วนบุคคลหลายรายการ แต่ละรายการอุทิศให้กับบริการหรือวัตถุประสงค์เฉพาะ
  • การเข้าถึงเฉพาะผู้ใช้: ต่างจากกุญแจ API ที่ใช้ทั่วโลก โทเค็นการเข้าถึงส่วนบุคคลถูกผูกมัดกับบัญชีผู้ใช้เฉพาะ ซึ่งหมายความว่าสมาชิกทีมอาจต้องสร้างโทเค็นแยกต่างหากสำหรับการเข้าถึงร่วมกัน
  • การอนุญาตที่ละเอียดอ่อน: ด้วยโทเค็นการเข้าถึงส่วนบุคคล คุณสามารถกำหนดขอบเขตที่เฉพาะเจาะจงได้ โดยให้สิทธิ์การเข้าถึงเฉพาะทรัพยากรและการกระทำที่จำเป็นเท่านั้น
  • การเข้าถึงเวลาจำกัด: โทเค็นการเข้าถึงส่วนบุคคลสามารถกำหนดค่าด้วยวันหมดอายุเพื่อลดหน้าต่างความเสี่ยงในกรณีที่มีการเปิดเผย
  • การถอนผู้ใช้งานได้ง่าย: ต่างจากรหัสผ่าน โทเค็นการเข้าถึงส่วนบุคคลสามารถถูกถอนหรือสร้างใหม่ได้โดยไม่กระทบกับบัญชีหลัก

โทเค็นการเข้าถึงส่วนบุคคล vs. โทเค็น Bearer vs. โทเค็น API

  1. โทเค็นการเข้าถึงส่วนบุคคลเป็นประเภทของโทเค็น API: โทเค็นการเข้าถึงส่วนบุคคลเป็นประเภทของโทเค็น API ระดับผู้ใช้ที่ผูกกับบัญชีผู้ใช้ มันให้สิทธิ์การเข้าถึงทรัพยากรระบบในนามของผู้ใช้ PATs มีความปลอดภัยมากกว่ากุญแจ API แบบดั้งเดิมเพราะว่ามันอนุญาตให้ควบคุมการอนุญาตอย่างละเอียด — เช่น การจำกัดการเข้าถึงเฉพาะที่เก็บหรือองค์กรเฉพาะ — และสามารถกำหนดวันหมดอายุเพื่อเพิ่มความปลอดภัย
  2. โทเค็นการเข้าถึงส่วนบุคคลสามารถใช้เป็นโทเค็น Bearer: โทเค็น Bearer เป็นวิธีการที่อนุญาตคำขอ API ซึ่งมักจะถูกสร้างขึ้นอย่างไดนามิกโดยใช้โปรโตคอลเช่น OAuth หรือ JWT โทเค็นการเข้าถึงส่วนบุคคลเป็นเวอร์ชันสถิตของโทเค็น Bearer ที่สร้างด้วยตนเองโดยผู้ใช้ (เช่น บน GitHub) ตัวอย่างเช่น เมื่อใช้ GitHub PAT สำหรับการเรียก API ให้แทรกมันในส่วนหัวของคำขอเป็น authorization: bearer <your-pat> ในกรณีนี้ PAT ทำหน้าที่เป็นโทเค็น Bearer
  3. โทเค็น API เป็นคำศัพท์กว้าง: โทเค็น API เป็นคำศัพท์ทั่วไปสำหรับโทเค็นที่ใช้ในการยืนยันตัวตนการเรียก API ซึ่งรวมถึงประเภทย่อยต่าง ๆ เช่น โทเค็น Bearer โทเค็น OAuth และโทเค็นการเข้าถึงส่วนบุคคล PATs และโทเค็น Bearer เป็นเพียงประเภทเฉพาะของโทเค็น API

เลือกกลไก AuthN และ AuthZ ของคุณ

ก่อนที่จะใช้โทเค็นการเข้าถึงส่วนบุคคล จำเป็นต้องเข้าใจบทบาทของมันภายในภูมิทัศน์ที่กว้างขึ้นของวิธีการรับรองตัวตน ด้วยกลไกหลายแบบให้เลือก สิ่งสำคัญคือต้องรู้ว่าแต่ละแบบเปรียบเทียบกันอย่างไร ด้านล่างนี้เป็นตารางที่ครอบคลุมเพื่อแสดงความแตกต่างหลักระหว่าง โทเค็นการเข้าถึงส่วนบุคคล (PATs), รหัสผ่าน, คีย์ API, และ โทเค็น OAuth ช่วยให้คุณตัดสินใจได้อย่างมีข้อมูล

  1. โทเค็นการเข้าถึงส่วนบุคคล: วิธีการยืนยันตัวตนที่เบา เหมาะสำหรับงานอัตโนมัติหรือการเข้าถึง API มันให้การควบคุมการอนุญาตที่ละเอียดอ่อน ทำให้มั่นใจถึงการเข้าถึงที่ปลอดภัยและเป็นเอกลักษณ์
  2. รหัสผ่าน: วิธีการรับรองตัวตนแบบดั้งเดิมที่ใช้ในการเข้าถึงบัญชีส่วนบุคคลผ่านทางอินเตอร์เฟซผู้ใช้ มันให้สิทธิ์การอนุญาตเทียบเท่ากับของเจ้าของบัญชี โดยไม่เสนอรายละเอียดเพิ่มเติม
  3. โทเค็น OAuth: วิธีการที่ปลอดภัยที่สุดในการให้สิทธิ์การเข้าถึงที่จำกัดแก่บริการของบุคคลที่สาม มันอนุญาตให้ผู้ใช้กำหนดขอบเขตการเข้าถึงโดยไม่ต้องเปิดเผยข้อมูลรับรองของพวกเขา ทำให้มั่นใจถึงความปลอดภัยและความยืดหยุ่น
  4. คีย์ API: ใช้สำหรับการเข้าถึง API อัตโนมัติโดยทั่วไป คีย์ API ผูกกับบัญชีบริการมากกว่าบัญชีส่วนบุคคลเราอย่างไรก็ตาม พวกเขาขาดการควบคุมการอนุญาตที่ละเอียดอ่อนที่ PATs หรือ OAuth มีให้
คุณสมบัติรหัสผ่านโทเค็นการเข้าถึงส่วนบุคคลโทเค็น OAuthคีย์ API
คำจำกัดความผู้ใช้ยืนยันตัวตนด้วยตัวระบุและรหัสผ่านโทเค็นสำหรับการเข้าถึงทรัพยากรหรือ API เฉพาะ โดยมักมีการจำกัดการอนุญาตระบบที่ผู้ใช้มอบสิทธิ์การเข้าถึงแอปบุคคลที่สามโดยไม่แชร์ข้อมูลรับรอง เช่น Google loginสตริงเฉพาะที่ลูกค้าใช้เพื่อยืนยันตัวตนการขอ API
การจำกัดขอบเขตโดยทั่วไปให้สิทธิ์เต็มที่แก่บัญชีผู้ใช้เมื่อล็อกอินอนุญาตการควบคุมการอนุญาตที่ละเอียดอ่อนอนุญาตให้ผู้ใช้กำหนดสิ่งที่แอปบุคคลที่สามสามารถเข้าถึงได้โดยทั่วไปให้สิทธิ์การเข้าถึงทรัพยากร API เฉพาะ ไม่มีการควบคุมที่ละเอียดอ่อน
การถอนผู้ใช้งานยากที่จะถอนโดยไม่เปลี่ยนรหัสผ่าน ซึ่งมีผลต่อบริการหลาย ๆ ตัวถอนง่ายด้วยตัวผู้ใช้หรือผู้ดูแลสามารถถอนโดยไม่กระทบต่อข้อมูลรับรองของผู้ใช้สามารถถอนหรือสร้างใหม่ได้ในระดับบริการ API
วันหมดอายุไม่หมดอายุเว้นแต่ผู้ใช้จะเปลี่ยนมักมีอายุยืนยาว แต่สามารถกำหนดให้หมดอายุได้โทเค็นการเข้าถึงหมดอายุหลังจากเวลาที่กำหนด; โทเค็นการรีเฟรชสามารถขยายการเข้าถึงได้มักมีอายุยืนยาว แต่สามารถหมุนหรือจำกัดโดยผู้ให้บริการ API
ความง่ายในการใช้งานจดจำง่ายแต่เสี่ยงหากจัดการไม่ถูกต้องง่ายต่อการสร้างและใช้งานสำหรับงานอัตโนมัติต้องมีการโต้ตอบเริ่มต้นจากผู้ใช้ แต่ให้การมอบสิทธิ์การเข้าถึงที่ปลอดภัยใช้ง่ายในการขอ แต่ไม่เหมาะสำหรับการยืนยันตัวตนของผู้ใช้ตรงๆ
เหมาะสำหรับการลงชื่อเข้าและตรวจสอบขั้นพื้นฐานของผู้ใช้งานฝั่งลูกค้าการดำเนินงานอัตโนมัติ การเข้าถึงทรัพยากร API ที่จำกัด และการพัฒนาในท่อส่ง CI/CDแอปบุคคลที่สามที่ต้องการการเข้าถึงข้อมูลผู้ใช้ที่จำกัดโดยไม่ต้องเก็บรหัสผ่านบริการเบื้องหลัง การสื่อสารเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์ และ API สาธารณะ
ความเสี่ยงด้านความปลอดภัยหากถูกขโมย จะให้สิทธิ์เต็มที่แก่บัญชีหากถูกเปิดเผย จะให้สิทธิ์เฉพาะทรัพยากรที่ระบุ สามารถถอนกลับได้ง่ายหากถูกเปิดเผย แอปบุคคลที่สามสามารถดำเนินการภายในขอบเขตที่มอบให้หากถูกขโมย มักใช้สำหรับการเข้าถึงเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์

โทเค็นการเข้าถึงส่วนบุคคลทำงานอย่างไร?

โทเค็นการเข้าถึงส่วนบุคคลทำงานเหมือนโทเค็นการเข้าถึง OAuth แต่โดยทั่วไปจะเป็นสตริงที่ไม่มีข้อมูลที่อ่านได้ของผู้ใช้ เมื่อคุณยืนยันตัวตนกับบริการเช่น GitHub คุณสามารถสร้าง PAT ที่ผูกกับบัญชีผู้ใช้ของคุณและกำหนดการอนุญาตเฉพาะให้มัน โทเค็นนี้ทำหน้าที่เป็นทางเลือกที่ปลอดภัยในการใช้รหัสผ่านเมื่อทำการขอเช่น การเข้าถึงที่เก็บส่วนตัวผ่าน API

โดยทั่วไป PAT จะถูกรวมอยู่ในส่วนหัวของคำขอ ดังตัวอย่างนี้:

โดยการส่ง PAT ของคุณในลักษณะนี้ บริการจะสามารถตรวจสอบตัวตนของคุณ ประเมินสิทธิ์ที่เชื่อมโยงกับโทเค็นของคุณ และให้ข้อมูลที่ร้องขอหรือดำเนินการที่ระบุได้

วิธีใช้โทเค็นการเข้าถึงส่วนบุคคล?

  • สร้างโทเค็นการเข้าถึงส่วนบุคคล: เริ่มต้นโดยการสร้างโทเค็นการเข้าถึงส่วนบุคคลผ่านแพลตฟอร์มที่คุณใช้งาน และเลือกขอบเขตเฉพาะเพื่อกำหนดสิทธิ์การเข้าถึง (scopes)
  • ยืนยันตัวตนของคำขอ API: เมื่อคุณมีโทเค็นการเข้าถึงส่วนบุคคลพร้อมแล้ว ใช้มันเพื่อยืนยันคำขอต่อบริการที่ต้องการการเข้าถึงที่ปลอดภัย รวมโทเค็นเป็นโทเค็น Bearer ในส่วนหัวของคำขอ API ของคุณ
  • ถอนโทเค็นการเข้าถึงส่วนบุคคล: หากคุณต้องการปิดใช้งานโทเค็นของคุณ ให้ถอนกลับผ่านการตั้งค่าการยืนยันตัวตนของแพลตฟอร์ม เมื่อถูกถอนกลับ คำขอ API ใด ๆ ที่ทำด้วยโทเค็นนั้นจะถูกปฏิเสธโดยอัตโนมัติ

เมื่อใดควรใช้โทเค็นการเข้าถึงส่วนบุคคล?

โทเค็นการเข้าถึงส่วนบุคคลยอดเยี่ยมในสถานการณ์ที่คุณต้องการให้การเข้าถึงต่อ API ของคุณที่ปลอดภัย เหมาะสำหรับนักพัฒนาและมีขอบเขตที่กำหนด นี่คือตัวอย่างการใช้งานที่เหมาะสม:

  • งานอัตโนมัติ: เหมาะสำหรับสคริปต์หรือเครื่องมือที่ต้องการดึงข้อมูลจาก API โดยไม่ต้องให้ผู้พัฒนาฝังข้อมูลรหัสที่มีความสำคัญ
  • การควบคุมการอนุญาตที่ละเอียดอ่อน: ให้การเข้าถึงที่แม่นยำโดยการให้สิทธิ์สคริปต์หรือเครื่องมือแบบจำกัด เช่น การเข้าถึงคลังเก็บที่เฉพาะเจาะจง โดยไม่ต้องเปิดเผยสิทธิ์บัญชีเต็ม
  • การเข้าถึงชั่วคราว: เหมาะสำหรับสถานการณ์ที่มีข้อจำกัดด้านเวลา โดยการจำกัดระยะเวลาการเข้าถึงเพื่อลดความเสี่ยงด้านความปลอดภัย
  • การเข้าถึงนักพัฒนาที่ง่ายขึ้น: เป็นวิธีที่สะดวกในการให้สิทธิ์การเข้าถึงแก่ผู้พัฒนาเฉพาะรายโดยไม่ต้องยุ่งยากในการตั้งค่าการอนุญาต OAuth แบบเต็มรูปแบบ
  • การรวมบุคคลที่สาม: ปรับปรุงฟังก์ชันด้วยเครื่องมือภายนอกโดยการจำกัดการเข้าถึงการกระทำที่กำหนดไว้ล่วงหน้า ตัวอย่างเช่น เมื่อบริษัทใช้เครื่องมือการจัดการโครงการ การรวมบุคคลที่สามสามารถให้สมาชิกทีมสร้างงานหรืออัพเดตสถานะจากการแชท Slack โดยไม่ต้องเข้าถึงเครื่องมือการจัดการโครงการเต็มรูปแบบ

GitHub เป็นแรงผลักดันในการใช้โทเค็นการเข้าถึงส่วนบุคคลตั้งแต่ปี 2013 ซึ่งกำลังเป็นที่นิยมเนื่องจากความง่ายและความยืดหยุ่น เครื่องมือของนักพัฒนาและแพลตฟอร์ม SaaS หลายแห่งสนับสนุน PATs ทำให้ใช้งานได้ง่าย และเป็นที่นิยมสำหรับนักพัฒนา:

  • GitHub/GitLab/Azure DevOps (เครื่องมือพัฒนา): ช่วยในการทำงานอัตโนมัติของ CI/CD การเชื่อมต่อกับเครื่องมืออื่น ๆ และจัดการคลังโค้ด

    github-personal-access-token.png

  • Figma (เครื่องมือออกแบบ): ทำให้การทำงานร่วมกันบนการออกแบบผ่านการผสาน API ง่ายขึ้น

    figma-personal-access-token.png

  • Atlassian Jira / Asana (การจัดการโครงการ): ช่วยให้สร้าง อัปเดต หรือลบงานได้ง่าย จัดการ sprint และจัดระเบียบโครงการผ่าน API

    jira-personal-access-token-admin.png

สามารถแชร์โทเค็นการเข้าถึงส่วนบุคคลกับผู้ใช้อื่นได้หรือไม่?

คำตอบสั้น ๆ — ไม่ได้ ไม่ควรทำ

โทเค็นถูกหมายให้ผูกกับบัญชีส่วนบุคคลและไม่ควรแชร์เด็ดขาด หากผู้อื่นต้องการเข้าถึง ควรสร้างโทเค็นที่ไม่ซ้ำกันพร้อมสิทธิ์ของพวกเขาหรือกำหนดบทบาทให้ผู้ใช้เพื่อหลีกเลี่ยงความเสี่ยงด้านความปลอดภัย การใช้โทเค็นผิดกฎหมายอาจทำให้เกิดการเข้าถึงโดยไม่ตั้งใจ ข้อมูลถูกบั่นทอน หรือการละเมิดความเป็นส่วนตัว เก็บรักษาโทเค็นให้เป็นส่วนตัวและถอนกลับถ้าสงสัยว่าถูกละเมิด

เปิดใช้งานแอปพลิเคชันของคุณเพื่อสร้างโทเค็นการเข้าถึงส่วนบุคคลด้วย Logto

ไม่ว่าคุณจะให้บริการ B2B หรือพัฒนาผลิตภัณฑ์ AI ล้ำสมัย การบังคับใช้การรับรองตัวตนและการอนุญาตที่เป็นมิตรต่อผู้พัฒนาเป็นสิ่งสำคัญ โทเค็นการเข้าถึงส่วนบุคคลสามารถเปิดโอกาสใหม่ให้กับธุรกิจของคุณได้

Logto, โซลูชันการจัดการตัวตนและการเข้าถึงลูกค้า (CIAM) ครบวงจร, ช่วยให้คุณสร้าง จัดการ และถอนโทเค็นการเข้าถึงส่วนบุคคลได้ง่าย นี่คือวิธีเริ่มต้น:

  1. ไปที่ Logto Console > การจัดการผู้ใช้.
  2. เข้าถึงโปรไฟล์ของผู้ใช้เฉพาะเพื่อจัดการโทเค็นการเข้าถึงส่วนบุคคลของพวกเขา

personal-acess-tokens-management.webp

ด้วย Logto คุณสามารถ:

  • สร้างโทเค็นการเข้าถึงส่วนบุคคลใหม่
  • จัดการโทเค็นหลายรายการสำหรับผู้ใช้เดียว
  • กำหนดวันที่หมดอายุที่กำหนดเองสำหรับโทเค็น
  • เปลี่ยนชื่อโทเค็นเพื่อการจัดระเบียบที่ดีขึ้น
  • ถอนโทเค็นเมื่อไม่ต้องการใช้งานอีกต่อไป

logto-create-personal-access-token.png

ยิ่งไปกว่านั้น คุณสามารถเปิดให้ผู้ใช้จัดการโทเค็นการเข้าถึงส่วนบุคคลได้เองในหน้าโปรไฟล์ผ่าน Logto Management APIs.

ค้นพบ Logto — โซลูชันที่รวมทุกอย่างสำหรับความต้องการ AuthN และ AuthZ ของคุณ