Zurück zur Übersicht

Begriff

OAuth 2.0

Security Web S3
2 Quellen 1 Lernpfad 1 Backlink enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Du willst einer App (z. B. einem Fotodruck-Dienst) Zugriff auf deine Google Fotos geben. Sollst du der App dein Google-Passwort geben? Auf keinen Fall! (Sie könnte auch deine E-Mails lesen und Passwörter ändern). Lösung: OAuth 2.0. Du gibst der App einen Access Token (Valet Key). Dieser Token kann nur Fotos lesen. Und nur für 1 Stunde. Es ist eine Delegation. "Ich erlaube dieser App, in meinem Namen X zu tun."

Merksatz: Ein offener Standard zur Autorisierung, der es Anwendungen ermöglicht, begrenzten Zugriff auf Benutzerdaten auf einem anderen Dienst zu erhalten, ohne dass der Benutzer seine Anmeldeinformationen (Passwort) weitergeben muss.


Quick-Check

  1. AuthN vs AuthZ?
    Oft verwechselt. OAuth 2.0 ist für Authorization (Was darfst du?). OIDC (OpenID Connect) ist für Authentication (Wer bist du?). OAuth allein sagt nicht, wer der User ist (Pseudo-Authentication ist möglich, aber Design-Hack).
  2. Bearer Token?
    "Wer den Token hat, hat die Macht." Wie Bargeld. Wenn du den Token verlierst, kann der Finder ihn nutzen. Deshalb immer HTTPS nutzen!
  3. RFC 6749?
    Die Bibel. Aber schwer zu lesen. OAuth 2.1 fasst Best Practices zusammen und verbietet unsichere Flows (Implicit).