アクセストークンはほかの認証方法 (例: ユーザ名とパスワード, アサーション) をリソースサーバが理解しうる一つのトークンに置き換えるような抽象化を提供する. この抽象レイヤーは有効期間の短いアクセストークンを発行することを可能にするとともに, リソースサーバーが様々な認証スキームを理解しなくともよいようにする.
リソースサーバは、Authorizationヘッダに対するHTTPリクエストに応答するとき、 Authorization HTTPヘッダ値(またはリクエストにHTTPヘッダフィールドが存在しない 場合は “authorization “ヘッダ値)を使用して、リクエストを許可するか拒否す るかを決定できる。認可の仕組みには4つのタイプがある: サーバはAuthorizationヘッダ値を使って、次のことを許可するかどうかを決定できる: 認可: Authorization: Basic(トークン) Authorization: Basic(トークン) 認証: Basic (トークン) 認証: Digest (トークン) 認証: ダイジェスト(トークン) 認証: ダイジェスト(トークン) 認証: ダイジェスト (トークン) 認証: NTLM (ユーザ資格情報) 認証: NTLM (ユーザークレデンシャル) 認証: NTLM (ユーザークレデンシャル) 認証: NTLM (ユーザークレデンシャル) 認証: OAuth (ユーザークレデンシャル) Authorization: NTLM (ユーザークレデンシャル) Authorization: OAuth (ユーザークレデンシャル) サーバーはAuthorizationヘッダー値を使用して、以下を許可するかどうかを決定 することができる: Authorization: none (認可なし) 無効なトークン値を含む認可値でリソースサーバが応答した場合、ユーザにエラーが通知され、クライアントはエラー応答を受け取る。authorizationヘッダーが存在しない場合、サーバーはユーザーに一般的な エラーメッセージを提供することができる。 アクセストークンの目的はただ一つ、ユーザーがリクエストしたリソースを クライアントが取得できるようにすることである。これによってサーバは、他のリクエストに関係するかもしれない認証スキームに 関わる必要がなくなる。 アクセストークンは各ユーザーに固有で、複数のユーザーが同時に使うことができます