Токен что это: что это такое, как и где можно купить электронный токен в 2021 году

Токены можно разделить на три вида:

• Equity tokens —  такие токены обычно представляют собой активы компании (акции).
• Utility tokens —  такой вид токенов представляет определенную ценность в рамках определенной компании и ее бизнес-модели (это может быть как игровая валюта, так и баллы, которые предоставляются за определенные действия).
• Asset-backed tokens — определенные обязательства, представленные в цифровом виде, обозначающие реальные услуги и товары (например время работы специалиста или количество килограммов определенного продукта).

Отметим, что напрямую могут быть обеспечены только asset-backed токены. Именно в этом случае токен представляет собой так называемый цифровой двойник  конкретного физического актива или услуги. В данном случае гарантирует конвертацию токена сама компания, которая предоставляет эти услуги или занимается хранением товаров.

Основным отличием токенов от криптовалют является их эмиссия: токены могут быть выпущены как централизовано (одной организацией), так и децентрализовано (в данном случае управляет системой определенный алгоритм). Обрабатываться и приниматься транзакции также могут централизованно. Цена на токен формируется не только исходя из баланса предложения и спроса, но также основываясь на других аспектах, к примеру определенные правила выпуска токена, а также возможность привязки к внешнему активу. Кроме того, важным отличием токенов от криптовалюты является то, что они не имеют собственного blockchain.

Существует множество различных способов приобретения токенов: это различные онлайновые сервисы, такие как биржи и обменники, а также возможность покупки у частных лиц. Торговля токенами очень похожа на торговлю криптовалютой.

Cпособ хранения токенов также аналогичен хранению криптовалюты: необходимо использовать специальный кошелек, который позволяет обрабатывать ключи, а также формировать и подписывать транзакции. Чаще всего такие приложения-кошельки уже входят в платформу, выпускающую токены.

Белым пятном токенизации является ее система безопасности:

• К сожалению, всегда существует вероятность того, что личные ключи пользователей могут быть украдены или утеряны.
• Одной из самых сложных задач является обеспечение конфиденциальности в публично доступных блокчейнах. Это связано с тем, что для того чтобы процесс верификации шел корректно, транзакции должны быть доступны публично.
• Также существует проблема масштабирования в децентрализованной системе учета в связи с тем, что такая база данных имеет очень строгое ограничение по пропускной возможности.

---


Начать торговать на Binance

Поделись с другом

Мне нравится

14

Главный редактор

Что такое токен блокчейна? Введение в криптографические токены

Содержание этой страницы эволюционировало с годами (проверьте машину обратного пути на предыдущие итерации) и последний раз обновлялось в июле 2019 года с отрывком из книги «Экономика токенов», которая строится, среди прочего, на опубликованных образовательных блогах. на сайте с 2015 года.

Криптографические токены представляют собой программируемые активы или права доступа, управляемые смарт-контрактом и лежащим в основе распределенным реестром.Они доступны только человеку, у которого есть закрытый ключ для этого адреса, и могут быть подписаны только с помощью этого закрытого ключа. Токены могут повлиять на финансовый мир так же, как электронная почта повлияла на почтовую систему.

Хотя существование токенов в целом и цифровых токенов в частности не новость, скорость, с которой эти криптографические токены развертываются и выпускаются, является показателем того, что эти токены могут быть убийственным приложением блокчейна, которого многие люди ждали. .По состоянию на апрель 2019 года, менее чем через десять лет с момента появления Белой книги Биткойна, экосистема из более чем 2200 публично торгуемых криптоактивов перечислена на Coinmarketcap, а в основной сети Ethereum было обнаружено более 175000 контрактов на токены Ethereum. Эти криптографические токены часто выпускаются с помощью всего нескольких строк кода с использованием простого смарт-контракта, работающего в цепочке блоков. Эти специальные типы смарт-контрактов, также называемые контрактами токенов, определяют набор условных прав, предоставляемых держателю токена.Токен-контракты — это, по сути, инструменты управления правами, которые могут представлять любой существующий цифровой или физический актив или право доступа к активам, которыми владеет кто-то другой. Токены могут представлять собой что угодно, от хранилища стоимости до набора разрешений в физическом, цифровом и юридическом мире. Они облегчают сотрудничество между рынками и юрисдикциями и обеспечивают более прозрачное, эффективное и справедливое взаимодействие между участниками рынка при низких затратах. Токены также могут стимулировать автономную группу людей к индивидуальному вкладу в коллективную цель.Эти жетоны создаются после подтверждения определенного поведения (подробнее: Глава 4 — Целеустремленные жетоны).

Возможность относительно легко развертывать токены по низкой цене в общедоступной инфраструктуре кардинально меняет правила игры, поскольку делает экономически целесообразным представление многих типов реальных активов в цифровом виде, что раньше было невозможно. Примерами могут служить долевое владение произведениями искусства или недвижимостью. Это может улучшить ликвидность и прозрачность существующих рынков активов.Это также может существенно повлиять на наши экономические взаимодействия, гораздо больше, чем может показаться на первый взгляд на такой ранней стадии их существования (подробнее: Часть 4 — Жетоны безопасности и долевое владение).

Цифровые активы не новость, но криптографические токены в цепочке блоков требуют меньших затрат на выпуск и управление. Их можно легко выпустить и безопасно продать на блокчейне без посредников или условного депонирования. В то время как современные цифровые активы контролируются централизованными организациями, теперь они могут быть выпущены с помощью нескольких строк кода и управляться общедоступной и поддающейся проверке инфраструктурой, такой как блокчейн. Токены могут обеспечить (I) большую прозрачность торговых площадок, чем существующие финансовые системы. Это может значительно снизить уровень мошенничества или коррупции в цепочке поставок товаров, услуг и финансовых транзакций. Токены также обладают потенциалом (II) снижения транзакционных издержек на разработку, управление и торговлю криптографическими активами в распределенных реестрах, чем на управление активами в современных системах. Это могло бы снизить барьеры для создания эффективных торговых площадок для продуктов и услуг, которые в настоящее время не токенизируются, таких как искусство или недвижимость.Последствиями являются (III) повышение ликвидности, снижение затрат на обнаружение цен и менее фрагментированные рынки для таких продуктов и услуг. Это может привести к (IV) совершенно новым вариантам использования, бизнес-моделям и типам активов, которые ранее были экономически невыгодны, и потенциально позволит создать совершенно новые модели создания ценности.

В то время как все больше и больше людей начинают создавать и инвестировать в криптографические токены, понимание различных типов токенов все еще ограничено, даже среди профессиональных инвесторов и опытных членов сообщества блокчейнов. Чтобы усугубить путаницу, такие термины, как «криптовалюта», «криптоактивы» и «токены» очень часто используются как синонимы. Средства массовой информации в основном склонны называть эти новые активы «криптовалютами», что часто используется для описания разнообразного диапазона «криптоактивов» или «токенов», которые могут представлять что угодно: от физического товара, цифрового товара, ценной бумаги и т. Д. коллекционный предмет, гонорар, награду или билет на концерт. Поэтому я хотел бы утверждать, что термин «криптовалюта» не идеален, поскольку многие из этих новых активов никогда не выпускались с намерением в первую очередь представлять деньги.«Криптографический актив» был бы более общим термином, который можно было бы использовать. Термин «токен» также является общим, но охватывает все токены, а не только токены, обеспеченные активами. Мы также можем видеть, что с ростом числа ICO (начальные электронные кольца для монет) и перехода к ITO (первоначальным предложениям токенов) или STO (предложениям токенов безопасности) термин «токен» стал в некоторой степени повсеместным.

В то время как отсутствие четкой, согласованной терминологии и определений является довольно распространенным явлением в новых областях, точность в языке и терминологии является основой для принятия обоснованных решений и лучшего обсуждения.Важно понимать, что мы все еще используем набор пересекающихся терминов для обозначения более или менее одного и того же, и это порождает большую путаницу, когда мы пытаемся разобраться в этих новых явлениях. Поэтому в этой главе мы попытаемся дать краткий обзор истории и различных свойств криптографических токенов с технической, юридической и бизнес точки зрения.

История токенов

Токены

— это не новость, они существовали задолго до появления блокчейна.Традиционно токены могут представлять любую форму экономической ценности. Ракушки и бусы, вероятно, были самыми ранними типами использованных жетонов. К другим типам жетонов относятся, например, фишки казино, ваучеры, подарочные карты, бонусные баллы в программе лояльности, жетоны для проверки пальто, сертификаты акций, облигации, жетоны на концерт или вход в клуб, представленные печатью на вашей руке, бронирование ужина, удостоверение личности. карты, членство в клубах, билеты на поезд или самолет. Большинство токенов имеют некоторые встроенные меры по борьбе с подделкой, которые могут быть более или менее безопасными, чтобы люди не могли обмануть систему.Бумажные деньги или монеты также являются жетонами. Кроме того, токены используются в вычислениях, где они могут представлять право на выполнение некоторых операций или управление правами доступа. Например, веб-браузер отправляет токены на веб-сайты, когда мы просматриваем Интернет, а наш телефон отправляет токены в телефонную систему каждый раз, когда мы его используем. Более осязаемая форма компьютерных жетонов — это коды отслеживания, которые вы получаете для отслеживания своей посылки с помощью почтовых служб, или QR-коды, которые дают вам доступ к поезду или самолету. В психологии жетоны использовались как метод положительного подкрепления, стимулирующий желаемое поведение пациентов, особенно в условиях больницы.Когнитивная психология использует жетоны вознаграждения в качестве средства обмена, которое можно обменять на особые привилегии во время пребывания в больнице.

Перерабатываемые бутылки — хороший аналог жетона. В некоторых странах бутылки, которые вы покупаете в супермаркетах, выпускаются в виде жетонов, так как на них напечатана стоимость вторичной переработки в несколько центов. Это деньги, которые вы платите сверх начальной цены продукта, и они стали для правительства методом поощрения переработки материалов и последующего уменьшения количества мусора в общественных местах.Если вы вернете бутылку в супермаркет или другие организации, занимающиеся сбором, вам возместят стоимость переработки, указанную на возвращаемом жетоне — бутылке. Потеря бутылки равносильна потере денег.

Мешок для мусора также может представлять собой жетон утилизации, если он выпущен со значением утилизации. Например, в некоторых частях Швейцарии нельзя просто выбрасывать мусор в мусорную корзину в случайном пакете. Вы должны заплатить за сумку заранее, в которую входит плата за мусорный контейнер, и вы можете использовать эти пакеты только для утилизации мусора. В отличие от большинства других стран, где вы ежемесячно оплачиваете счет за мусор, в рамках счета за коммунальные услуги, привязанного к арендной плате за квартиру или дом, эта система требует от вас покупки специальных пластиковых пакетов. Эти токенизированные пластиковые пакеты стоят дороже, чем обычные пластиковые пакеты для супермаркетов, и выпускаются и управляются местными властями.

Криптографические токены

В этом историческом контексте криптографические токены в цепочке блоков могут сочетать в себе обе концепции: права доступа к некоторой базовой экономической ценности (собственности) или разрешение на доступ к собственности или услугам другого лица или коллективному благу.Это свойство или услуга могут быть общедоступными (сеть Биткойн) или частными (квартира, которую сдает в аренду частное лицо). Важно отметить, что термин «токен» — это просто метафора. Вопреки метафоре, маркер не представляет собой цифровой файл, который отправляется с одного устройства на другое. Вместо этого он относится к активам и / или правам доступа, которые совместно управляются сетью компьютеров, сетью блокчейнов или другим распределенным реестром. Распределенный реестр обеспечивает универсальный уровень состояния, общедоступную инфраструктуру в виде распределенной записи транзакций, которая отслеживает, какой адрес кошелька является владельцем какого токена (подробнее: Часть 1 — Интернет 3).

Криптографические токены представляют собой набор правил, закодированных в смарт-контракте — контракте токена. Каждый токен принадлежит адресу блокчейна. Эти токены доступны с помощью специального программного обеспечения кошелька, которое взаимодействует с цепочкой блоков и управляет парой открытых и закрытых ключей, связанной с адресом цепочки блоков. Только человек, у которого есть закрытый ключ для этого адреса, может получить доступ к соответствующим токенам. Следовательно, это лицо может считаться владельцем или хранителем этого токена.Если токен представляет собой актив, владелец может инициировать передачу токенов, подписав свой закрытый ключ, который, в свою очередь, генерирует цифровой отпечаток пальца или цифровую подпись. Если токен представляет собой право доступа к чему-то другому, владелец этого токена может инициировать доступ, подписавшись своим закрытым ключом, тем самым создав цифровой отпечаток пальца. Если токен представляет собой голосование, владелец этого токена может проголосовать, подписавшись своим закрытым ключом, создав цифровую подпись (подробнее: Часть 1 — Криптография).

---

---

Однако с нормативной точки зрения окончательно не ясно, возможно ли и каким образом получить право собственности или владения на такие токены. Следовательно, такие концепции, как опекунство, вероятно, потребуют юридических изменений во многих юрисдикциях.

Для токенов

всегда требуется подложка, обеспечивающая их действительность, включая некоторые встроенные меры по борьбе с подделкой. Исторически сложилось так, что токены выпускались и управлялись централизованными организациями для обеспечения действительности, и в их основу были встроены механизмы безопасности.Центральные банки, выпускающие монеты и банкноты, должны убедиться, что их жетоны, монеты и банкноты трудно поддаются копированию. То же самое и с организатором концертов, оформляющим билеты на концерт. Действительность и безопасность криптографических токенов регулируются смарт-контрактом, который создал их вместе с базовым распределенным реестром на основе консенсуса большинства (подробнее: Часть 1 — Биткойн, блокчейн и другие распределенные реестры).

Первые токены блокчейнов были собственными токенами современных публичных и не требующих разрешения блокчейнов, таких как Биткойн, Эфириум и т. Д.Эти собственные токены, также называемые токенами протокола, являются частью схемы стимулирования инфраструктуры блокчейна. Роль собственного токена в цепочке блоков, таким образом, состоит в том, чтобы побуждать разрозненную группу людей, которые не знают или не доверяют друг другу, организовывать себя вокруг цели конкретной цепочки блоков (подробнее: Глава 1 — Биткойн, цепочка блоков и т. Д. Другие распределенные реестры). Однако с появлением Ethereum токены переместились вверх по технологическому стеку и теперь могут быть выпущены на уровне приложения с помощью нескольких строк кода.Такие токены приложений могут иметь простое или сложное поведение. Ethereum упростил выпуск токенов с помощью нескольких строк кода. Они разработали стандартизированный смарт-контракт, стандарт ERC-20, который определяет общий список правил для токенов Ethereum, включая то, как токены передаются с одного адреса Ethereum на другой и как осуществляется доступ к данным в каждом токене. Эти относительно простые смарт-контракты управляют логикой и поддерживают список всех выпущенных токенов и могут представлять любой актив, который имеет функции взаимозаменяемого товара.Подавляющее большинство ранних токенов, выпущенных на блокчейне Ethereum, были взаимозаменяемыми токенами, совместимыми с ERC-20, где каждый токен имеет идентичную ценность с любым другим токеном того же типа. Они могут быть взаимозаменяемыми, и поэтому ими легко торговать.

Однако за последний год появились более сложные стандарты токенов, которые могут представлять любой актив или права доступа с особыми свойствами. ERC-721 представил бесплатный и открытый стандарт, который описывает, как создавать так называемые невзаимозаменяемые токены на блокчейне Ethereum.Это положило начало эпохе создания в токенах более сложных функций. Этот стандарт упростил создание токена, который представляет любой тип коллекционирования, произведения искусства, собственности или персонализированные права доступа, и это лишь несколько примеров. Эти невзаимозаменяемые токены обладают особыми свойствами, которые делают токен уникальным или привязаны к личности определенного человека и, следовательно, представляют собой менее взаимозаменяемые или невзаимозаменяемые активы и права доступа. Они могут открыть путь к одному из самых интересных вариантов использования.ERC-721 представил гораздо более широкий спектр стандартов смарт-контрактов, которые превосходят возможности взаимозаменяемых токенов, которые доминировали в первые дни продаж токенов (подробнее: Глава 3 — Продажа токенов).

токенов в настоящее время не пересекаются по сетям, поскольку они выпускаются и управляются с помощью смарт-контрактов, специфичных для блокчейн. Эти разные блокчейны имеют разные стандарты и часто несовместимы. Тем не менее, совместимость токенов — это проблема, которую решают такие проекты, как «Cosmos» и «Polkadot», которые в настоящее время появляются.Совместимость и стандартизация влияют на потенциальные сетевые эффекты массового внедрения токенов. Различные стандарты в настоящее время не позволяют разработчикам кошельков предоставлять кошельки с несколькими токенами. У пользователей будут разные кошельки для разных токенов. Отсутствие кошельков с несколькими токенами является одним из узких мест для удобства использования нескольких токенов в одном программном обеспечении.

Типы жетонов

собственных токенов современных общедоступных и не требующих разрешения блокчейнов, таких как Биткойн или Эфириум, являются частью схемы стимулирования, чтобы побудить разрозненную группу людей, которые не знают или не доверяют друг другу, объединяются вокруг цели конкретной цепочки блоков.Собственный токен сети Биткойн, также называемый Биткойном, имеет наборы правил управления токенами, основанные на криптоэкономических механизмах стимулирования , которые определяют, при каких обстоятельствах транзакции Биткойн проверяются и создаются новые блоки.

Эти криптографические токены на основе блокчейна позволяют появиться «распределенным Интернет-племенам». В отличие от традиционных компаний, которые структурированы на высшем уровне с множеством уровней управления (бюрократическая координация), блокчейн нарушает классические нисходящие структуры управления с децентрализованными автономными организациями (DAO).DAO связывают людей вместе не юридическим лицом и официальными контрактами, а криптографическими токенами (стимулами) и полностью прозрачными правилами, записанными в программное обеспечение.

---

---

Сеть Биткойн можно рассматривать как первую настоящую DAO, которая предоставляет инфраструктуру для денег без банков и менеджеров банков и остается устойчивой к атакам, а также отказоустойчивой с момента создания первого блока в 2009 году. Ни один центральный орган не контролирует Биткойн. Теоретически, только отключение электроэнергии во всем мире могло остановить Биткойн.Однако с появлением Ethereum токены переместились вверх по технологическому стеку и теперь могут быть выпущены на уровне приложений как токены dApp или токены DAO. Смарт-контракты на блокчейне Ethereum позволяют создавать токены со сложным поведением, привязанным к ним. Сегодня концепция токена занимает центральное место в большинстве социальных и экономических инноваций, разработанных с помощью технологии блокчейн.

Только реестры без разрешения (общедоступные цепочки блоков, такие как Биткойн или Эфириум) нуждаются в каком-то механизме стимулирования, чтобы гарантировать, что валидаторы блоков выполняют свою работу в соответствии с предопределенными правилами.В разрешенных (федеративных / консорциумных / частных) распределенных системах регистров валидаторы и создатели блоков могут выполнять свою работу по разным причинам: например, если они обязаны это делать по контракту. В разрешенных средах валидаторы могут быть только членами клуба и управляются вручную и централизованно. Таким образом, разрешенным реестрам не нужен токен. Также обратите внимание, что термин блокчейн в контексте таких реестров весьма противоречив.

Полный текст и графика высокого разрешения доступны в мягкой обложке и в электронной книге: Token Economy, Shermin Voshmgir, 2020

---

Об авторе: Шермин Вошмгир — автор книги «Экономика токенов», основатель Token Kitchen и BlockchainHub Berlin.В прошлом она была директором Исследовательского института криптоэкономики Венского экономического университета, соучредителем которого она также была. Она была куратором TheDAO (Децентрализованный инвестиционный фонд), консультантом Jolocom (Web3 Identity), Wunder (Tokenized Art) и эстонской программы электронного резидентства. Шермин изучал управление информационными системами в Венском экономическом университете и изучал кинопроизводство в Мадриде. Она австрийка с иранскими корнями, работает на стыке технологий, искусства и социальных наук.

О книге : Это второе издание книги «Экономика токенов», первоначально опубликованная в июне 2019 года. Базовая структура этого второго издания такая же, как и у первого издания, с немного обновленным содержанием существующих глав и четырьмя дополнительными главами. : «Идентичность, ориентированная на пользователя», «Токены конфиденциальности», «Кредитные токены» и «Как разработать систему токенов» и многое другое. Блокчейны и смарт-контракты упростили создание токена с помощью всего нескольких строк кода.Они могут представлять что угодно, от актива до права доступа, например, золото, бриллианты, фрагмент картины Пикассо или входной билет на концерт. Токены также можно использовать для поощрения вкладов в социальные сети, стимулирования сокращения выбросов CO2 или даже для привлечения внимания к просмотру рекламы. Хотя стало легко создать токен, которым коллективно управляет общедоступная инфраструктура, такая как блокчейн, понимание того, как применять эти токены, все еще неясно.

Книга относится к токенам, а не к криптовалютам, и объясняет, почему термин «токен» является более точным термином, поскольку многие из токенов никогда не создавались с целью представления валюты.В этой книге дается обзор механизмов и состояния блокчейна, социально-экономических последствий использования токенов, а также подробно рассматриваются отдельные сценарии использования токенов: токен Basic Attention, Steemit, курируемые реестры токенов (TCR), целевые токены, стабильные токены. , токены активов, токены долевого владения, Libra & Calibra (Facebook) и многое другое.

Что такое токен? — Руководство по криптовалюте

На ярмарках и фестивалях вы обмениваете наличные деньги на жетоны, которые можно использовать для еды, напитков или поездок.Точно так же это может также означать членство в группе или какое-либо доказательство владения.

С развитием криптовалют термин «токен» обрел новую жизнь в новом контексте, и теперь он является частью технологической революции, охватившей наше общество. В криптопространстве токен — это просто криптовалюта, построенная на основе существующей цепочки блоков.

В этой статье мы рассмотрим, что такое токен в контексте блокчейна, что его характеризует, какие типы токенов существуют и для чего они используются.

Определение токена

Самое основное определение токена состоит в том, что он представляет собой единицу стоимости, выпущенную организацией. Если мы перенесем это понятие в криптоиндустрию, мы должны добавить тот факт, что оно принято сообществом, а также поддерживается в блокчейне.

Организация создает токен в контексте конкретной бизнес-модели, чтобы стимулировать взаимодействие с пользователем и распределять вознаграждения по сети держателей токенов.

Мы подробно рассмотрели разницу между токеном и криптовалютой в другом руководстве, но, поскольку они используются взаимозаменяемо, важно также быстро установить, что их отличает.

Хотя криптовалюта работает независимо и использует собственную платформу, токен — это криптовалюта, построенная на основе существующей цепочки блоков. Например, Биткойн — это независимая криптовалюта, а 0x — токен на основе Ethereum.

Типы жетонов

Когда компания собирает средства в рамках первичного предложения монет (ICO), она делает это путем выпуска токенов, которые распределяет среди покупателей, заинтересованных в внесении криптофондов.

Эти токены могут иметь множество различных применений, но мы можем разделить их на два раздела: токены безопасности и служебные токены.

Ценные бумаги

аналогичны традиционным акциям, поскольку их стоимость определяется внешними торгуемыми активами.

После того, как правительства договорятся о правильной нормативной базе, можно с уверенностью предположить, что в силу своей природы на токены безопасности будут распространяться те же правила. Компании, которые не соблюдают этот стандарт, понесут значительные штрафы, и их проекты будут остановлены, в то время как те, которые его соблюдают, получат огромную выгоду от сертифицированных инвестиций.

С другой стороны, служебные токены не предназначены для традиционных инвестиций. Вместо этого они предоставляют владельцам доступ к будущему продукту или услуге компании. В зависимости от конструкции, служебные токены вполне могут быть освобождены от регулирования, касающегося ценных бумаг.

Точно так же, как книжный магазин может принимать заказы на книгу, которая еще не вышла, стартап блокчейн может продавать цифровые токены, которые позволят покупателю приобрести продукт, который еще не был создан, или услугу, которая пока не может быть предоставлен.

Думайте об этом методе привлечения капитала как о способе обойти инвесторов и обратиться прямо к вашим будущим клиентам. Таким образом, если стартап находит достаточно людей, заинтересованных в оплате продукта или услуги до того, как они будут реализованы, у них будет достаточно капитала, чтобы сдвинуть проект с мертвой точки без необходимости пресмыкаться перед инвесторами.

Как можно использовать токен?

В случае токенов безопасности их чаще всего используют в качестве средства сбора средств в ICO.

Однако, если мы обсуждаем «ICO» служебного токена, эти компании предпочитают термины «события генерации токенов» или «события распределения токенов».

Поскольку индустрия токенов все еще находится в зачаточном состоянии, трудно классифицировать потенциальное использование токенов таким образом. В конечном итоге возможные варианты использования данного токена будут определяться компанией, выпускающей указанный токен.

По мере развития блокчейн-предприятий и решения вопросов государственного регулирования и доступности для инвесторов и клиентов мы можем ожидать более инновационных способов использования токенов.Токены будут использоваться как метод:

• Платеж между разными сторонами, которые принимают его в качестве валюты
• Владение цифровыми активами (недвижимость, продукты, акции компании)
• Учет цифровых действий
• Вознаграждение участникам сети
• Обеспечение защиты сети
• Установка шлюза к дополнительным сервисам
• Обеспечение лучшего взаимодействия с пользователем

Возможности безграничны, и, как и с появлением Интернета, они все еще остаются неизученными.

Взгляд в будущее токенизации

Учитывая его потенциал изменить способ самоорганизации нашего общества, к токенизации реальных активов, таких как золото или недвижимость, следует относиться серьезно.

Как только токены интегрируются с существующей глобальной банковской инфраструктурой и будут работать в соответствии с разумным государственным регулированием, они завоюют доверие общественности. Весьма оптимистичные наблюдатели даже считают, что ICO могут заменить первичные публичные предложения в качестве основного метода выпуска акций.

В этот момент наша экономика будет настроена на использование демократизации активов, что позволит даже самым маленьким инвесторам покупать часть быстрорастущих активов.

Для получения дополнительной информации о криптовалюте ознакомьтесь с другими нашими руководствами здесь.

Заявление об ограничении ответственности: Мы не даем рекомендаций по финансовым продуктам.

Что такое токен? | Монетный дом

В экосистеме блокчейна любой актив, который можно передать в цифровом виде между двумя людьми, называется токеном.
Эти токены выпускаются в блокчейне, чаще всего в Ethereum.В зависимости от присвоенных им свойств они имеют разную классификацию и использование.

Ethereum не изобретал токены!

Токены могут быть собственными для цепочки блоков, например биткойн, или размещаться в существующей цепочке блоков через смарт-контракт, но многие токены в цепочке блоков Ethereum имеют сомнительную полезность.

Если Ethereum действительно является блокчейном, на котором размещено большинство токенов на сегодняшний день, идея размещения актива, отличного от собственного токена, на блокчейне устарела.С 2012 года «цветные углы» на блокчейне Биткойн представляют собой примитивную версию этой концепции, но никогда не найдут реального применения.

После этого в 2013 году NXT предложит блокчейн, специализирующийся на генерации токенов, и запустит эту услугу в начале 2014 года. И здесь этот протокол снова не будет иметь успеха.

Почему несколько активов на одном блокчейне?

Видя успех Биткойна, в период 2011-2015 годов было запущено множество проектов, часто с использованием исходного кода Биткойна с некоторыми незначительными модификациями, такими как Litecoin, или даже с изменением только его имени и символа (Dogecoin).

Все эти проекты быстро столкнулись с ограничениями, налагаемыми децентрализацией: для того, чтобы такой проект работал, требуется множество узлов, реплицирующих блокчейн, майнеры, желающие проверять транзакции, разработчики, чтобы разработать протокол и создать поддерживающие его портфели.

Многие из этих проектов не смогли достичь критической массы для выживания в очень конкурентной среде и присоединились к списку активов, перечисленных на deadcoins.com.

Таким образом, заинтересованность в создании актива, «размещенного» на существующей цепочке блоков, очевидна: человек использует более или менее бесплатно существующую инфраструктуру цепочки блоков, на которую он закреплен.Таким образом, майнеры прозрачно проверяют все размещенные токены, узлы реплицируют все свои транзакции, их портфели сразу становятся совместимыми.

Создать токен Ethereum теперь так же просто, как перейти на веб-сайт, выбрать несколько настроек и заплатить один или два евро в качестве комиссионных, чтобы иметь возможность пользоваться всеми функциями безопасности, функциями и масштабируемостью базового блокчейна.

Какие бывают жетоны?

Существуют различные формы жетонов с множеством свойств и функций.Чтобы получить большинство этих токенов, вы должны сначала купить биткойны, так как большинство из них можно обменять только на BTC.

Для их размещения также необходимо будет найти блокчейн для создания смарт-контрактов, таких как Stellar, EOS, BNB, KMD или TRON. Однако Ethereum — это блокчейн, на котором эти проекты развиваются больше всего.

В Ethereum с 2017 года появились стандарты, позволяющие создателям этих токенов предлагать идентичные функции, чтобы интегрировать их в существующие портфели.Портфель, поддерживающий токен ERC20, сразу совместим со всеми другими токенами ERC20.

ERC20: «взаимозаменяемые» токены

Первый стандарт токенов, утвердившийся в экосистеме Ethereum, токен ERC20 управляется смарт-контрактом, который представляет собой список минимальных функций: как создавать новые единицы, разделенные на фракции, уничтожать их и передавать в другой портфель.

Большинство этих токенов поступают от ICO (первичного предложения монет) и связаны с конкретным проектом со своим собственным ценностным предложением.Некоторые ERC20 интересны и являются частью нашего списка криптовалют, выделяющихся в 2019 году.

Использование ERC20 чрезвычайно разнообразно: обмен или оценка активов в экосистеме проекта, представление актива, который является базовым, стейблкойны, стоимость которых остается фиксированной по отношению к государственной валюте.

ERC721: «незаменимые» токены

Популяризованные CryptoKitties, ERC721 построены на основе ERC20 и обладают всеми его техническими характеристиками с одним фундаментальным отличием: они не являются взаимозаменяемыми токенами, которые представляют собой цифровой объект с уникальными характеристиками: серийным номером, именем, характеристиками символов. или игровые объекты.

Также используется термин «крипто-коллекционный», очень популярный в сфере видеоигр или собственности. ERC721 всегда уникальны и не могут быть воспроизведены или разделены на фракции токенов. У нас может быть только его целая единица. В нашей статье о Enjin представлена ​​дополнительная информация об этом типе токенов.

ERC1411: «Жетоны безопасности»

Опять же на основе стандарта ERC20, токены безопасности включают активы, требующие соблюдения финансового законодательства. Они представляют финансовые продукты в традиционном смысле, такие как акции, облигации, долги или права собственности.

Согласно тем же правилам, что и традиционные продукты, инвестиции или торговля этими активами ограничиваются так называемыми «квалифицированными» инвесторами.

Особенность токенов ERC1411 заключается в том, что они не могут свободно передаваться, как традиционные токены ERC20: третья сторона несет ответственность за разрешение или запрет на передачу этих цифровых объектов в соответствии с законами и государственными постановлениями, управляющими базовыми активами, которые они представляют.

Эта авторизация управляется смарт-контрактом, с помощью которого были созданы эти активы.Таким образом, цифровые активы адаптируются к существующему законодательству, и вполне вероятно, что токены безопасности быстрее всего выиграют от правовой базы, поскольку их существование представляет собой лишь простую техническую эволюцию традиционных финансовых продуктов.

Хотя существуют и другие, гораздо более экзотические формы токенов, наиболее широко используемые включены в эти три широкие классификации, которые уже представляют несколько тысяч активов с сильно варьирующимся процентом и ценностным предложением.

А как насчет других блокчейнов?

На данный момент самые многочисленные и интересные проекты разрабатываются на блокчейне Ethereum.В блокчейнах EOS и TRON производится несколько токенов, но следует сказать, что их приложения почти полностью относятся к сфере азартных игр, которая редко представляет собой технологическую парадигму.

Барьер на входе для создания и управления токеном стал чрезвычайно низким. Поэтому важно, чтобы избежать сомнительных проектов, иметь надежного партнера с сильным опытом, такого как Coinhouse.

Что такое токен ICO | Узнать все о токенах ICO

Что такое определение крипто-токена?

Это объект со значением, указанным выдающимися людьми.Если это модный стартап, один токен может быть равен одному платью или годовой лицензии на программное обеспечение в случае высокотехнологичного стартапа. Вы даже можете выпустить собственные токены, и держатель токена сможет купить за токен час вашей работы. Вы можете «токенизировать» все.

В чем разница между криптовалютными монетами и токенами?

Это сложная часть. Самый простой ответ: токены — это не валюта. Вам не нужно создавать блокчейн для выпуска токенов, который является обязательным для криптовалюты, но вы используете существующий (обычно Ethereum, который изначально создавался как платформа для смарт-контрактов и превратился в валюту) .

Монета — это денежный эквивалент, то, что определяет ценность и служит ее передачей.

Токен — это символ контракта, его стоимость не зависит от добычи, цены на золото или каких-либо динамических рыночных критериев. Один мой друг однажды дал мне записку, в которой сказал, что он всегда приготовит мне кофе по запросу. Он до сих пор делает это, спустя 10 лет это был чертовски хороший знак!

Что такое токен-контракт и как он работает?

Хорошо, жетон — это не монета, понятно.Но все же что-то должно регулировать транзакцию, стоимость и т. Д.? Как это работает? Для этого вам нужна платформа. Возьмем для примера Etherium, поскольку это одна из самых популярных платформ для смарт-токенов.

Вот полный цикл контракта:

1. Создание токенов: компания пишет основные правила (количество токенов, стоимость токена, особые условия). После создания платформа будет служить очень умным нотариусом для всех будущих транзакций, обеспечивая выполнение всех условий.
2. Приобретение токенов: когда кто-то хочет купить токен, процесс действительно похож на покупку кокса в торговом автомате. Вы подходите к автомату, бросаете монету и нажимаете кнопку «кокс» (выбираете жетон, который хотите купить). Машина проверяет, есть ли на складе «кокс» и имеете ли вы право на его покупку. Если все в порядке — вы получаете свой напиток (или жетон в нашем случае). Машина говорит «хорошего дня» и обновляет информацию о запасах (теперь на один кокс меньше).
3. Транзакция с токеном: если у вас есть кола, вы можете просто передать ее своему другу.За деньги или бесплатно. В реальности токенов у вас есть кошелек для токенов, который поддерживается той же платформой, которая выпустила токен. Вы можете перевести свой токен с помощью кошелька. И снова виртуальный нотариус, работающий на смарт-контракте, позаботится о том, чтобы вы сделали это в соответствии с правилами. Более того, вся активность кошельков постоянно фиксируется и обновляется.

Все это бесплатно? Нет. Кому-то нужно оплатить услуги нотариуса, техника по торговому автомату и доставку кокса.В токен-мире — операция обработки, называемая «газ». Таким образом, каждый раз, когда вы просите купить или продать токены, будет потрачено некоторое количество «газа», и вы заплатите его комиссию.

Примечание: комиссия не статическая. Это зависит от количества ожидающих транзакций. Вы можете определить максимальную границу, которую вы готовы платить за свой газ. Если стоимость токена, скажем, составляет 10 долларов, а плата за газ составляет 20 долларов, это не так уж и много, не так ли? Итак, вы можете сказать, что платите за газ не более 2 долларов, нажать «Отправить» и тем временем найти чем-то еще.Система будет обслуживать сначала самые высокие цены на газ, а в конечном итоге и вашу, когда придет ваше время. Есть шанс, что вы будете ждать долго (если другие готовы платить больше, чем вы). Но вы всегда можете поднять газовую шапку.

Типы токенов

Рассмотрим наиболее распространенные типы токенов.

Token — жетон (Utility tokens), самый популярный вид

Помните парки аттракционов из детства? Американские горки, карусели, хот-доги и сахарная вата? На входе у вас есть жетоны, чтобы покупать еду и входить в аттракционы.

Итак, давайте представим, что компания — это парк развлечений, и с помощью жетонов вы можете покупать различные услуги, как вы это делаете с каруселями и хот-догами.

Теперь, чтобы сделать аналогию точной, предположим, что вы можете купить много жетонов до того, как парк будет официально открыт или когда он только что откроется. Если парк станет популярным, его жетоны будут намного дороже. Как 10 долларов за хот-дог. Но умный ребенок, купивший жетоны перед открытием, все равно получит удовольствие от еды за 1 доллар.

Это основная идея выпуска и покупки токенов. Но если в парке развлечений вы покупаете жетоны на входе, где взять жетон криптовалюты?

Ответ — ICO — первичное предложение монет.

Token — акции (Equity tokens)

В этом случае ICO полностью приравнивается к IPO. Обычно токен-акции выпускаются, когда стартапу не требуется криптотехнология.

В этом случае держатели токенов получат дивиденды или фиксированную комиссию.Они также смогут принять участие в решениях компании. Вся эта честь за поддержку проекта в начале его жизни.

Токен — кредит

Это кредит; держатель дает стартапу. Это еще один способ заработать деньги. Например, вы вкладываете X, чтобы получить X + 10 процентов.

Token — combo

Если вы не совсем запутались, вы будете сейчас: иногда токен может принадлежать более чем одному типу. Например, токены Sia и Digix одновременно являются токенами и акциями.И у Steemit есть все три типа токенов (Steem, Steem Dollars (SBD) и Steem Power (номинал VESTS).

Как вы торгуете токенами?

Эта часть очень похожа на монеты. зарегистрируйтесь на бирже для покупки и продажи токенов.

Условия транзакции могут быть действительно сложными: контракт может включать несколько правил, таких как «вы можете продать его только до указанной даты» или «после некоторой даты, но только для определенного продавца.Итак, инвестируя в токены, вы должны очень внимательно читать «маленькие буквы».

Что такое «токен» блокчейна? Это просто криптовалюта?

Когда вы слышите слова «токен блокчейна», вы, вероятно, сразу обращаетесь к криптовалюте. Таким образом, фраза «токен» часто может иметь негативный оттенок и заставлять руководителей держаться подальше от всего, что с ней связано.

Хотя жюри по криптовалюте еще не принято, токены блокчейна могут быть ценными и, по сути, часто не имеют ничего общего с криптовалютой.Вот ваша еженедельная статья «Блокчейн, объяснение» о том, что такое токен блокчейна.

Что такое токен блокчейна?

Токен представляет собой набор правил, закодированных в смарт-контракте. Каждый токен принадлежит адресу блокчейна. По сути, это цифровой актив, который надежно хранится в блокчейне.

токенов чаще всего известны как криптовалюты, такие как биткойны или токены эфира.

Однако это может быть что угодно, от голосов до лицензий и владения песней.

Источник: Blockchainhub Berlin

токенов, как на изображении выше, являются просто активами или правами доступа (или и тем, и другим). Они предоставляют пользователю разрешение и / или право собственности. Они являются ключевой частью того, как работает технология блокчейн.

Еще одно отличие состоит в том, что токены всегда создаются на существующих блокчейнах.

Значит, токены — это не криптовалюты?

Токены могут быть формами криптовалюты, такими как Биткойн или Эфириум.Существуют также токены стейблкоинов, которые представляют собой «криптовалюты», поддерживаемые реальным активом.

Однако токены часто не имеют ничего общего с криптовалютой. Единица криптовалюты — это токен, защищенный криптографией — токен не является криптовалютой. Токен просто означает актив, который может быть использован пользователем.

Это означает, что слово «токен блокчейна» не должно вызывать у вас страх. Вероятно, это вообще не имеет отношения к криптовалюте. Блокчейн потратил много лет, пытаясь избавиться от своей репутации биткойнов, но это очень ценный актив даже за пределами криптовалюты.

Криптовалютная монета — это просто монета и форма валюты. У токена гораздо более широкий функционал.

Проще говоря: посмотрите на Биткойн. Биткойн-токены можно использовать только как монеты. Они представляют собой форму денежной оценки. Биткойны не имеют ценности вне финансов.

Эфир, с другой стороны, может использоваться как монета, но имеет и другое применение. Многие блокчейн-компании используют Ethereum для других целей, помимо криптовалюты. Токены ERC-20 могут служить разным целям.

Итак, в следующий раз, когда вы услышите слово «токен», не сбивайте его немедленно, потому что вы не хотите иметь дело с криптовалютой — это может вообще не иметь ничего общего с криптовалютой.

Blockhead Technologies создает решения для отслеживания с поддержкой блокчейн, особенно подходящие для горнодобывающего сектора. Вы можете узнать больше о нашей платформе STAMP здесь или связаться с нами для получения дополнительной информации или демонстрации.

Что такое аутентификация на основе токенов? | Okta

Аутентификация на основе токенов — это протокол, который позволяет пользователям проверять свою личность и взамен получать уникальный токен доступа.В течение срока действия токена пользователи затем получают доступ к веб-сайту или приложению, для которого был выпущен токен, вместо того, чтобы повторно вводить учетные данные каждый раз, когда они возвращаются на ту же веб-страницу, приложение или любой ресурс, защищенный тем же токеном. .

токенов аутентификации работают как проставленный билет. Пользователь сохраняет доступ, пока токен остается действительным. Как только пользователь выходит из системы или выходит из приложения, токен становится недействительным.

Аутентификация на основе токенов отличается от традиционных методов аутентификации на основе пароля или сервера.Токены предлагают второй уровень безопасности, и администраторы имеют подробный контроль над каждым действием и транзакцией.

Но использование токенов требует некоторого ноу-хау в области кодирования. Большинство разработчиков быстро осваивают эту технику, но есть кривая обучения.

Давайте углубимся, чтобы определить, подходят ли токены вам и вашей организации.

История токенов аутентификации

Аутентификация и авторизация — разные, но связанные концепции. До появления токенов аутентификации у нас были пароли и серверы.Мы использовали традиционные методы, чтобы гарантировать, что нужные люди имеют доступ к нужным вещам в нужное время. Это не всегда было эффективным.

Считайте пароли. Обычно это:

• Генерация пользователей. Кто-то придумывает комбинацию букв, цифр и символов.
• Память. Человек должен помнить об этой уникальной комбинации.
• Повторение. Каждый раз, когда пользователю нужно получить доступ к чему-либо, необходимо ввести пароль.

Кража паролей — обычное дело. Фактически, один из первых задокументированных случаев кражи паролей произошел еще в 1962 году. Люди не могут вспомнить все свои пароли, поэтому прибегают к уловкам, например:

• Записывать их все. Клочки бумаги, заполненные паролями, — это кошмар службы безопасности.
• Повторяя их. Люди склонны использовать один и тот же пароль в нескольких местах. Если обнаружен один пароль, многие учетные записи могут оказаться уязвимыми.
• Немного меняя их. Люди меняют одну букву или цифру, когда предлагается обновить пароль.

Пароли также требуют аутентификации сервера. Каждый раз, когда человек входит в систему, компьютер создает запись транзакции. Соответственно увеличивается нагрузка на память.

Аутентификация токена отличается.

При аутентификации по токену вторичная служба проверяет запрос сервера. По завершении проверки сервер выдает токен и отвечает на запрос.

Пользователь может запомнить один пароль, но токен предлагает другую форму доступа, которую гораздо труднее украсть или преодолеть. И запись сеанса не занимает места на сервере.

3 типа токенов аутентификации

Все токены аутентификации разрешают доступ, но каждый тип работает немного по-своему.

Это три распространенных типа токенов аутентификации:

• Подключено: Ключи, диски, приводы и другие физические предметы подключаются к системе для доступа.Если вы когда-либо использовали USB-устройство или смарт-карту для входа в систему, вы использовали подключенный токен.
• Бесконтактный: Устройство находится достаточно близко к серверу, чтобы общаться с ним, но не подключается к нему. Так называемое «волшебное кольцо» Microsoft может быть примером этого типа токена.
• Отключено: Устройство может связываться с сервером на больших расстояниях, даже если оно никогда не касается другого устройства. Если вы когда-либо использовали свой телефон для двухфакторной аутентификации, вы использовали этот тип токена.

Во всех трех сценариях пользователь должен что-то сделать, чтобы запустить процесс. Возможно, им потребуется ввести пароль или ответить на вопрос. Но даже если они идеально выполнят эти предварительные шаги, они не смогут получить доступ без помощи токена доступа.

Аутентификация токена за 4 простых шага

Используйте систему аутентификации на основе токенов, и посетители будут проверять учетные данные только один раз. Взамен они получат токен, разрешающий доступ на определенный вами период времени.

Процесс работает так:

• Запрос: Человек запрашивает доступ к серверу или защищенному ресурсу. Это может быть логин с паролем или какой-то другой процесс, который вы укажете.
• Проверка: Сервер определяет, что у человека должен быть доступ. Это может включать проверку пароля на соответствие имени пользователя или другой процесс, который вы укажете.
• Токенов: Сервер обменивается данными с устройством аутентификации, например с кольцом, ключом, телефоном или аналогичным устройством.После проверки сервер выдает токен и передает его пользователю.
• Хранение: Маркер находится в браузере пользователя, пока работа продолжается.

Если пользователь пытается посетить другую часть сервера, токен снова связывается с сервером. Доступ предоставляется или запрещается в зависимости от токена.

Администраторы устанавливают ограничения на токены. Вы можете разрешить одноразовый токен, который немедленно уничтожается, когда человек выходит из системы. Или вы можете настроить токен на самоуничтожение в конце указанного периода времени.

Что такое токены обновления и как их безопасно использовать

В этом посте будет исследована концепция токенов обновления, определенная в OAuth 2.0. Мы узнаем, как они сравниваются с другими типами токенов и как они позволяют нам сбалансировать безопасность, удобство использования и конфиденциальность.

Что такое жетон?

Токены — это фрагменты данных, которые несут достаточно информации, чтобы облегчить процесс определения личности пользователя или авторизации пользователя для выполнения действия. В общем, токены — это артефакты, которые позволяют прикладным системам выполнять процесс авторизации и аутентификации.

Новичок в концепциях идентичности? Прочтите «Аутентификация против авторизации», чтобы начать работу.

Общие структуры и протоколы идентификации используют стратегии на основе маркеров для защиты доступа к приложениям и ресурсам. Например, мы можем использовать OAuth 2.0 для авторизации и OIDC для аутентификации.

OAuth 2.0 — одна из самых популярных сред авторизации. Он разработан, чтобы позволить приложению получать доступ к ресурсам, размещенным на других серверах, от имени пользователя.OAuth 2.0 использует токенов доступа и токенов обновления .

OpenID Connect (OIDC) — это протокол идентификации, который выполняет аутентификацию пользователя, согласие пользователя и выпуск токена. OIDC использует ID токенов .

Давайте рассмотрим три типа токенов, которые мы используем с OAuth 2.0 и OpenID Connect для выполнения процессов аутентификации и авторизации в наших прикладных системах. В процессе мы увидим важную роль, которую токены обновления играют в помощи разработчикам в создании приложений, которые предлагают удобство без ущерба для безопасности.

Типы токенов

Что такое идентификационный токен?

Судя по названию, маркер идентификатора — это артефакт, который клиентские приложения могут использовать для получения идентификатора пользователя. Например, токен идентификатора может содержать информацию об имени, адресе электронной почты и изображении профиля пользователя. Таким образом, клиентские приложения могут использовать токен идентификатора для создания профиля пользователя, чтобы персонализировать взаимодействие с пользователем.

Сервер аутентификации, который соответствует протоколу OpenID Connect (OIDC) для реализации процесса аутентификации, выдает своим клиентам токен идентификатора всякий раз, когда пользователь входит в систему.Потребителями токенов ID в основном являются клиентские приложения, такие как одностраничные приложения (SPA) и мобильные приложения. Это целевая аудитория.

Что такое токен доступа?

Когда пользователь входит в систему, сервер авторизации выдает маркер доступа, который является артефактом, который клиентские приложения могут использовать для выполнения защищенных вызовов к серверу API. Когда клиентскому приложению требуется доступ к защищенным ресурсам на сервере от имени пользователя, маркер доступа позволяет клиенту сигнализировать серверу о том, что он получил от пользователя разрешение на выполнение определенных задач или доступ к определенным ресурсам.

OAuth 2.0 не определяет формат токенов доступа. Например, в Auth0 токены доступа, выпущенные для Management API, и токены доступа, выпущенные для любого пользовательского API, зарегистрированного в Auth0, соответствуют стандарту JSON Web Token (JWT). Их базовая структура соответствует типичной структуре JWT и содержит стандартные утверждения JWT, касающиеся самого токена.

Это содержимое декодированного токена доступа, который соответствует формату JWT:

  {
  "iss": "https: // ВАШ_ДОМЕН /",
  "sub": "auth0 | 123456",
  "aud": [
    "мой-API-идентификатор",
    "https: // ВАШ_ДОМЕН / userinfo"
  ],
  "azp": "YOUR_CLIENT_ID",
  «exp»: 1489179954,
  «iat»: 1489143954,
  "scope": "адрес электронной почты профиля openid чтение телефона: встречи"
}  

Важно подчеркнуть, что токен доступа является токеном на предъявителя.Те, у кого есть жетон, могут его использовать. Затем маркер доступа действует как артефакт учетных данных для доступа к защищенным ресурсам, а не как артефакт идентификации. Теоретически злоумышленники могут скомпрометировать систему и украсть токены доступа, которые, в свою очередь, они могут использовать для доступа к защищенным ресурсам, представив эти токены непосредственно на сервер.

Таким образом, очень важно иметь стратегии безопасности, которые минимизируют риск компрометации токенов доступа. Один из методов смягчения последствий — создание токенов доступа с коротким сроком службы: они действительны только в течение короткого времени, определенного в часах или днях.

Существуют разные способы, которыми клиентское приложение может получить новый маркер доступа для пользователя. Например, по истечении срока действия токена доступа клиентское приложение может предложить пользователю снова войти в систему, чтобы получить новый токен доступа. В качестве альтернативы сервер авторизации может выдать клиентскому приложению токен обновления, который позволяет ему заменить просроченный токен доступа новым.

Вы можете увидеть как идентификаторы, так и маркеры доступа в действии в любом из наших «Полных руководств по аутентификации пользователя», доступных для React, Angular, Vue и Node.js!

Что такое токен обновления?

Как уже упоминалось, в целях безопасности маркеры доступа могут быть действительными в течение короткого промежутка времени. По истечении срока их действия клиентские приложения могут использовать токен обновления для «обновления» токена доступа. То есть токен обновления — это артефакт учетных данных, который позволяет клиентскому приложению получать новые токены доступа без необходимости снова просить пользователя войти в систему.

На диаграмме выше SPA = одностраничное приложение; AS = Сервер авторизации; RS = сервер ресурсов; AT = токен доступа; RT = Обновить токен.

Клиентское приложение может получить новый маркер доступа, пока маркер обновления действителен и не истек. Следовательно, токен обновления, который имеет очень долгий срок службы, теоретически может дать несущему токен бесконечную мощность для получения нового токена доступа для доступа к защищенным ресурсам в любое время. Носителем токена обновления может быть законный пользователь или злоумышленник. Таким образом, компании по безопасности, такие как Auth0, создают механизмы, гарантирующие, что этот мощный токен в основном хранится и постоянно используется предполагаемыми сторонами.

Когда использовать токены обновления

Важно помнить, что спецификация OAuth 2.0 определяет токены доступа и токены обновления. Итак, если бы мы обсуждали стратегии авторизации с точки зрения других протоколов или структур идентификации, таких как SAML, у нас не было бы концепций токенов доступа или токенов обновления.

Для тех, кто занимается веб-разработкой, часто говорят о токенах доступа и обновлениях, поскольку в сети широко используются авторизация и аутентификация на основе токенов через OAuth 2.0 и протокол OpenID Connect.

В сочетании OAuth 2.0 и OIDC позволяют реализовать множество потоков авторизации и аутентификации. У каждого потока есть свой набор преимуществ и предостережений, которые определяют лучшие сценарии и архитектуру, в которой мы должны использовать токены доступа и обновления.

Если для этого есть приложение, то для этого есть и поток!

Имейте в виду, что согласно спецификации при использовании неявного потока сервер авторизации не должен выдавать токены обновления.Неявный поток часто реализуется в одностраничных приложениях (SPA), которые выполняются на уровне внешнего интерфейса системной архитектуры. Нет простого способа защитить токен обновления на уровне внешнего интерфейса самостоятельно.

Использование потока кода авторизации с ключом подтверждения для обмена кодом (PKCE) снижает многие риски, присущие неявному потоку. Например, при использовании неявного типа предоставления токен доступа передается во фрагменте URI, который может раскрыть его неавторизованным сторонам.Вы можете узнать больше об этих уязвимостях, прочитав раздел спецификации «Неправильное использование токена доступа для выдачи себя за владельца ресурса в неявном потоке».

Однако реализация PKCE в ваших приложениях по-прежнему не влияет на безопасность токенов обновления.

Однако токены обновления могут не понадобиться.

Существуют сценарии, в которых вы все еще можете получить токен доступа, не прерывая пользователя и не полагаясь на всемогущую силу токена обновления.Другими примерами поддержания сеанса могут быть файлы cookie или автоматическая аутентификация.

Однако миллиарды людей используют SPA каждый день. Важно обеспечить пользователям удобство и безопасность, в котором сочетаются удобство и безопасность. Можно ли что-нибудь сделать, чтобы SPA предоставляли возможность обновлять токены менее рискованным и более безопасным способом?

Совершенно верно!

Платформа идентификации, которая предлагает ротацию маркеров обновления, позволяет использовать маркеры обновления в одностраничных приложениях.В спецификации подчеркивается, что если вы не можете проверить, принадлежит ли токен обновления клиенту, например SPA, мы не должны использовать их , если у нас нет ротации токенов обновления на месте .

Давайте узнаем больше об этой стратегии безопасности в следующем разделе.

Обеспечение безопасности токенов обновления

Недолговечный токен доступа помогает повысить безопасность наших приложений, но за него приходится платить: когда срок его действия истекает, пользователю необходимо снова войти в систему, чтобы получить новый. Частая повторная аутентификация может ухудшить восприятие пользователем вашего приложения.Даже если вы делаете это для защиты своих данных, пользователи могут найти ваш сервис неудобным или сложным в использовании.

Маркер обновления может помочь сбалансировать безопасность и удобство использования. Поскольку токены обновления обычно долговечны, вы можете использовать их для запроса новых токенов доступа после истечения срока действия более короткоживущих токенов доступа.

Однако, поскольку токены обновления также являются токенами-носителями, нам необходимо иметь стратегию, которая ограничивает или сокращает их использование, если они когда-либо будут утечкой или скомпрометированы.Все, у кого есть токены обновления, имеют право получать новые токены доступа, когда захотят. «Они» могут быть законными пользователями или злоумышленниками.

В Auth0 мы создали набор функций, которые снижают риски, связанные с использованием токенов обновления, путем введения мер защиты и контроля их жизненного цикла. Наша платформа идентификации предлагает ротацию токенов обновления, которая также включает автоматическое обнаружение повторного использования.

Давайте углубимся в эту технику безопасности.

Обновление ротации токенов

До недавнего времени надежной стратегией, помогающей SPA поддерживать сеанс пользователя, было использование потока кода авторизации с PKCE в сочетании с тихой аутентификацией.Ротация токенов обновления — это метод получения новых токенов доступа с использованием токенов обновления, выходящий за рамки тихой аутентификации.

Ротация токенов обновления гарантирует, что каждый раз, когда приложение обменивает токен обновления для получения нового токена доступа, также возвращается новый токен обновления. Следовательно, у вас больше нет долговечного токена обновления, который мог бы предоставить незаконный доступ к ресурсам, если он когда-либо окажется скомпрометированным. Угроза незаконного доступа снижается, поскольку токены обновления постоянно обмениваются и аннулируются.

Например, при включенной ротации токенов обновления на панели инструментов Auth0 каждый раз, когда ваше приложение обменивает токен обновления для получения нового токена доступа, сервер авторизации также возвращает новую пару токенов обновления-доступа. Эта защита помогает вашему приложению смягчить атаки повторного воспроизведения, вызванные скомпрометированными токенами.

Refresh Token Автоматическое обнаружение повторного использования

Refresh Token являются токенами на предъявителя. Сервер авторизации не может узнать, кто является законным или злонамеренным, при получении запроса на новый токен доступа.Тогда мы могли бы рассматривать всех пользователей как потенциально злонамеренных.

Как мы можем справиться с ситуацией, когда существует состояние гонки между законным пользователем и злоумышленником? Например:

• 🐱 Законный пользователь имеет 🔄 Обновить токен 1 и 🔑 Токен доступа 1 .

• 😈 Злоумышленник сумел украсть 🔄 Обновить токен 1 из 🐱 Законный пользователь .

• 🐱 Законный пользователь использует 🔄 Маркер обновления 1 для получения новой пары маркеров доступа к обновлению.

• 🚓 Auth0 Authorization Server возвращает 🔄 Refresh Token 2 и Access Token 2 до 🐱 Законный пользователь .

• 😈 Злоумышленник затем пытается использовать 🔄 Refresh Token 1 , чтобы получить новый маркер доступа. Чистое зло!

Как вы думаете, что должно произойти дальше? Удастся ли 😈 злоумышленнику получить новый токен доступа?

Это то, что происходит, когда ваша платформа идентификации имеет 🤖 Автоматическое обнаружение повторного использования :

• Сервер авторизации 🚓 Auth0 отслеживает все токены обновления, происходящие от исходного токена обновления.То есть он создал «символическую семью».

• Сервер авторизации 🚓 Auth0 распознает, что кто-то повторно использует 🔄 Refresh Token 1 , и немедленно аннулирует семейство токенов обновления, включая 🔄 Refresh Token 2 .

• 🚓 Auth0 Authorization Server возвращает ответ «Доступ запрещен» на 😈 злоумышленник .

• 🔑 Срок действия токена доступа 2 истекает, и 🐱 Законный пользователь пытается использовать 🔄 Обновить токен 2 для запроса новой пары токенов обновления-доступа.

• Сервер авторизации 🚓 Auth0 возвращает ответ «Доступ запрещен» на 🐱 Легитимного пользователя .

• Сервер авторизации 🚓 Auth0 требует повторной аутентификации для получения нового доступа и обновления токенов.

Очень важно, чтобы последний выданный токен обновления сразу становился недействительным, когда ранее использованный токен обновления отправляется на сервер авторизации. Это предотвращает использование любых токенов обновления в том же семействе токенов для получения новых токенов доступа.

Этот механизм защиты работает независимо от того, имеет ли законный пользователь или злонамеренный пользователь возможность обменять 🔄 Refresh Token 1 на новую пару токенов обновления-доступа раньше другой. Без принудительного ограничения отправителя сервер авторизации не может знать, какой субъект является законным или злонамеренным в случае повторной атаки.

Автоматическое обнаружение повторного использования — ключевой компонент стратегии ротации маркеров обновления. Сервер уже аннулировал токен обновления, который уже был использован.Однако, поскольку сервер авторизации не имеет возможности узнать, хранит ли законный пользователь самый последний токен обновления, он на всякий случай аннулирует все семейство токенов.

Конфиденциальность — горячая тема в нашем цифровом мире. Нам нужно не только найти баланс между безопасностью и удобством, но и добавить конфиденциальность в этот баланс.

Последние разработки в области технологии конфиденциальности браузеров, такие как Intelligent Tracking Prevention (ITP), предотвращают доступ к файлам cookie сеанса, требуя от пользователей повторной аутентификации.

В браузере нет механизма постоянного хранения, который мог бы гарантировать доступ только предполагаемому приложению. Таким образом, долгоживущие токены обновления не подходят для SPA, поскольку есть уязвимости, которые злоумышленники могут использовать для получения этих ценных артефактов, предоставляя им доступ к защищенным ресурсам.

Поскольку ротация токенов обновления не зависит от доступа к cookie сеанса Auth0, на нее не влияет ITP или аналогичные механизмы.

Однако срок жизни токена обновления может быть ограничен сроком жизни токена доступа.Это означает, что мы можем безопасно использовать токены обновления, чтобы играть вместе с инструментами конфиденциальности браузера и обеспечивать непрерывный доступ для конечных пользователей, не нарушая взаимодействия с пользователем.

Вы можете хранить токен обновления в локальном хранилище

Да, вы правильно прочитали. Когда у нас есть ротация токенов обновления, мы можем хранить токены в локальном хранилище или в памяти браузера.

Возможно, вы слышали раньше (возможно, от нас), что мы не должны хранить токены в локальном хранилище.

Хранение токенов в локальном хранилище браузера обеспечивает постоянство при обновлении страниц и вкладках браузера; однако, если злоумышленникам удалось запустить JavaScript в SPA с помощью атаки межсайтового скриптинга (XSS), они могли получить токены, хранящиеся в локальном хранилище.Уязвимость, ведущая к успешной XSS-атаке, может присутствовать в исходном коде SPA или любом стороннем коде JavaScript, который использует приложение, например Bootstrap или Google Analytics.

Однако мы можем сократить абсолютное время истечения срока действия токенов, чтобы снизить риски безопасности при хранении токенов в локальном хранилище. Это снижает влияние отраженной XSS-атаки (но не постоянной). Маркер обновления может иметь длительный срок службы в зависимости от конфигурации. Однако определенный длительный срок жизни токена обновления сокращается с ротацией токена обновления.Обновление действительно только в течение срока действия токена доступа, который будет недолгим.

Использование токенов обновления в ваших приложениях Auth0

Если вы заинтересованы в добавлении аутентификации и авторизации в свое приложение всего за несколько шагов, зарегистрируйте бесплатную учетную запись Auth0 сейчас .

В нашем документе «Лучшие методы работы с токенами» излагаются некоторые основные соображения, которые следует учитывать при использовании токенов:

• Держите это в секрете. Держать его в безопасности.
• Не добавляйте конфиденциальные данные в полезную нагрузку.
• Дайте токенам истечь.
• Используйте HTTPS.
• Рассмотрите все варианты использования авторизации.
• Хранение и повторное использование.