存取令牌（Access Token）

. “断言”（ Assertion）是 SAML（安全断言标记语言）中使用的术语，相当於 OIDC（OpenID Connect）中的“声明”。OIDC 将 ID Token（用於身份验证）与 Access Token（用於授权）区分开来。OAuth2 中使用的存取令牌是“承载”令牌。拥有存取令牌作为不记名令牌的任何一方都可以存取相关资源。
. XACML 用於授权，它基於 XML，非常适合 SAML。
. 存取令牌和不记名令牌通常可以互换使用。但是，存取令牌字面上表示存取控制或授权的概念。不记名令牌是令牌的一种，它强调令牌的匿名性。

RFC 6750，OAuth 2.0 Bearer Token Usage，是一个规范，“描述了如何在 HTTP 请求中使用不记名令牌来存取 OAuth 2.0 受保护的资源。拥有不记名令牌（“持有者”）的任何一方都可以使用它来存取相关资源（无需证明拥有加密密钥）。为了防止滥用，需要保护不记名代币在存储和运输过程中不被泄露。”
但是，它也使用术语“存取令牌”描述了客户端和资源服务器之间的通信，如下图所示：