Dalam sistem operasi komputer dan kerangka kerja perangkat lunak lainnya, token akses adalah setiap struktur data yang berisi informasi keamanan yang diperlukan oleh suatu proses untuk mengakses objek yang diamankan atau proses lain yang memerlukan otorisasi. Objek aman biasanya data dalam sistem file dengan hak baca dan tulis yang ditentukan, dan proses adalah program atau layanan lain yang memerlukan otorisasi untuk mengakses fungsinya. Sementara token akses hanyalah sebuah wadah yang mampu menyimpan informasi apa pun, biasanya digunakan untuk menyimpan hak pengguna.
Konsep token akses terutama dipahami dan digunakan oleh sistem operasi dan program Microsoft®, tetapi kegunaannya telah membawanya ke tempat lain. Antarmuka pemrograman aplikasi (API) untuk Google menjelaskan metode untuk menggunakan token akses saat memprogram aplikasi yang perlu mengakses data yang terkait dengan akun pengguna Google. Beberapa platform jejaring sosial besar juga menggunakan token akses di API mereka.
Pada dasarnya, ketika pengguna masuk ke sistem operasi atau kerangka kerja sistem perangkat lunak, sistem memverifikasi pengguna dan kata sandi dalam basis data keamanan, dan token akses dibuat yang mengidentifikasi pengguna ke objek atau proses apa pun pada sistem. Setiap proses — seperti aplikasi, program, atau layanan — yang dimulai oleh pengguna akan membawa token akses bersamanya. Token akses, kemudian, perlu menyimpan beberapa bit data yang diperiksa oleh program atau objek lain untuk memberikan akses.
Token akses berisi pengidentifikasi keamanan (SID), biasanya kode numerik, untuk pengguna, setiap grup pengguna tempat pengguna berada, dan sesi masuk saat ini. Token juga berisi daftar hak istimewa apa pun yang diizinkan oleh pengguna atau grup. Ada beberapa jenis token akses yang berbeda, jadi token juga perlu mengidentifikasi jenisnya, baik primer maupun peniruan identitas. Token akses utama adalah tipe standar yang digunakan, tetapi token peniruan identitas juga dapat dibuat untuk bertindak atas nama pengguna.
Ketika token akses dipanggil untuk melakukan tugasnya, ia bertemu dengan monitor referensi keamanan (SRM), layanan yang memantau akses ke objek dan proses pada sistem. SRM menarik deskriptor keamanan objek atau proses untuk dibandingkan dengan token akses. Deskriptor keamanan berisi daftar kontrol akses (ACL), di mana setiap entri kontrol akses (ACE) mendefinisikan izin tertentu untuk objek atau proses tersebut. Misalnya, dalam kasus file pada sistem, deskriptor keamanan berisi informasi tentang pengguna atau grup mana yang memiliki izin untuk membaca atau menulis ke file tersebut. Jika token akses yang meminta akses untuk membuka atau mengedit file tidak sesuai dengan izin di deskriptor keamanan, akses akan gagal dan pengguna tidak dapat mengakses file tersebut.