OAuth

OAuth (Open Authorization) ist ein standardisiertes Protokoll für die sichere Autorisierung von Anwendungen, das es Benutzern ermöglicht, Drittanbieter-Apps eingeschränkten Zugriff auf ihre Daten zu gewähren, ohne dabei sensible Anmeldeinformationen preiszugeben.

Was ist OAuth?

Stellen Sie sich vor, Sie möchten einer App erlauben, Fotos in Ihrem Namen auf Instagram zu posten, ohne ihr Ihr Instagram-Passwort zu geben. Genau das ermöglicht OAuth: Es ist wie ein digitaler Schlüsseldienst, der temporäre, eingeschränkte Zugriffsrechte an andere Anwendungen vergibt, ohne dass Sie Ihre wichtigsten Zugangsdaten teilen müssen.

Wie funktioniert OAuth?

Der Benutzer möchte einer App Zugriff auf seine Daten geben
Die App leitet den Benutzer zur Anmeldeseite des Datenanbieters weiter
Der Benutzer meldet sich direkt beim Datenanbieter an
Der Benutzer bestätigt die gewünschten Zugriffsrechte
Die App erhält einen speziellen Zugriffscode (Token)

Wichtige Konzepte

Access Tokens: Temporäre Zugriffsschlüssel für Anwendungen
Scopes: Definierte Berechtigungsbereiche
Authorization Code: Sicherer Austauschcode für Tokens
Refresh Tokens: Tokens zur Verlängerung des Zugriffs
Client ID & Secret: Identifikation der Anwendung

Anwendungsbeispiele

"Mit Google anmelden" Buttons auf Websites
Apps, die auf Ihre Cloud-Speicher zugreifen
Social Media Management Tools
Fitness-Apps, die Daten teilen
Smart Home Geräte und deren Apps

Sicherheitsaspekte

Keine Weitergabe von Passwörtern an Drittanbieter
Granulare Kontrolle über Zugriffsrechte
Zeitlich begrenzte Zugriffe
Möglichkeit, Zugriffe jederzeit zu widerrufen
Verschlüsselte Kommunikation über HTTPS

OAuth 2.0 und die Zukunft

Die aktuelle Version OAuth 2.0 wird kontinuierlich weiterentwickelt. Mit OAuth 2.1 werden verschiedene Best Practices und Sicherheitserweiterungen in einem neuen Standard zusammengefasst, um die Implementierung noch sicherer und einfacher zu gestalten.