Zurück zur Übersicht

Begriff

API Authentication

API Security S2
2 Quellen 1 Lernpfad 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Wenn du dich bei Instagram einloggst, gibst du Passwort und Nutzername ein. Aber wie "loggt" sich eine App bei einer anderen App (API) ein? Wenn deine Wetter-App Daten vom Wetter-Dienst abruft, muss sie beweisen: "Ich bin die App XYZ und ich habe für den Service bezahlt." Das ist API Authentication. Es ist die (digitale) Ausweiskontrolle am Eingang der API. Ohne Auth könnte jeder Hacker die API nutzen, Daten klauen oder löschen.

Merksatz: Verfahren zur Überprüfung der Identität eines Clients (User oder Maschine), der auf eine API zugreift. Nicht zu verwechseln mit Authorization (Rechteverwaltung).


Quick-Check

  1. AuthN vs. AuthZ?
    AuthN (Authentication) = "Wer bist du?" (Ausweis). AuthZ (Authorization) = "Was darfst du?" (Schlüsselbund). Man macht immer erst AuthN, dann AuthZ.
  2. Warum sind JWTs (JSON Web Tokens) so beliebt?
    Weil sie "Stateless" sind. Alle Infos ("User ID: 5, Admin: true") stehen im Token und sind digital signiert. Der Server muss nicht in der Datenbank nachschauen (spart DB-Last), sondern nur die Signatur prüfen (CPU).
  3. Kann man API Keys in JavaScript (Frontend) nutzen?
    Niemals Private/Secret Keys! Jeder kann "Rechtsklick -> Quelltext anzeigen" machen. Für Frontends nutzt man kurzlebige Tokens oder spezielle "Publishable Keys" mit minimalen Rechten.