تبادل الرمز عند وقت الطلب هو نمط هوية تُصك فيه بيانات اعتماد الوصول فقط عندما يُطلب إجراء محدد. وبدلا من منح وكيل أو تطبيق سرا دائما، يتحقق وسيط IAM من الطلب، ويقيّم السياسة، ويصدر رمزا قصير العمر لا يتضمن إلا الأذونات اللازمة لتلك العملية الواحدة.
هذا مهم لأن بيانات الاعتماد الثابتة تمثل نقطة فشل شائعة في الأمن السيبراني: فإذا سُرقت، يمكن إعادة استخدامها للحصول على وصول واسع أو مستمر. يقلل التبادل عند وقت الطلب من نطاق هذا التأثير، ويدعم مبدأ أقل الامتيازات، ويحسن الإسناد لأن كل رمز يرتبط بإجراء وسياق محددين. وفي الدفاعات العملية، يُستخدم للسماح لوكلاء الذكاء الاصطناعي أو الخدمات أو الموصلات بالوصول إلى واجهات برمجة التطبيقات وأدوات SaaS من دون تخزين مفاتيح طويلة الأمد إطلاقا. أما في الهجمات، فغالبا ما يحاول الخصوم التقاط الرموز أو إساءة استخدام عمليات التبادل الواسعة أكثر من اللازم، لذا فإن تحديد النطاق بدقة، وانتهاء الصلاحية، والتسجيل كلها أمور أساسية.



