Из RFC 6750, раздел 1.2 :
Жетон на предъявителя
Маркер безопасности со свойством, что любая сторона, владеющая токеном («предъявитель»), может использовать токен любым способом, который может использовать любая другая сторона, владеющая им. Использование токена на предъявителя не требует от предъявителя доказательства владения материалом криптографического ключа (доказательство владения).
Токен на предъявителя или токен обновления создается для вас сервером аутентификации. Когда пользователь аутентифицирует ваше приложение (клиент), сервер аутентификации затем переходит и генерирует для вас токен-носитель (токен обновления), который затем можно использовать для получения токена доступа.
Токен-носитель обычно представляет собой какое-то загадочное значение, создаваемое сервером аутентификации, оно не случайное, оно создается на основе того, что пользователь предоставляет вам доступ, а клиент, получающий доступ к вашему приложению.
См. Также: Информация заголовка Mozilla MDN .