V praxi může jít o fyzické zařízení (hardwarový token), SMS kód, mobilní aplikaci nebo čistě softwarový objekt. V moderních systémech se často používají přístupové tokeny v protokolech typu OAuth nebo OpenID Connect. Token obsahuje informace o uživateli, čase platnosti a rozsahu oprávnění. Systémy token ověřují a na jeho základě rozhodují, zda požadavek povolit. Výhodou je, že samotné heslo nebo jiný primární prostředek přihlášení se nepřenáší při každém požadavku. Tokeny musí mít omezenou dobu platnosti a být chráněné před únikem, jinak mohou být zneužity. Ve veřejné správě se tokeny využívají jak pro autentizaci uživatelů, tak pro komunikaci mezi systémy. V praxi je nutné mít jasná pravidla, jak se tokeny vydávají, obnovují, revokují a logují.
