Der Standard für „Login mit X". Flows, Tokens, PKCE — und wo selbst gebauter Auth gefährlich wird.
Kategorie · Security & Compliance
Der Standard hinter „Login mit X“.
OAuth 2.0 ist ein Autorisierungs-Protokoll: Es regelt, wie eine Anwendung im Namen eines Nutzers auf eine andere zugreifen darf, ohne dessen Passwort zu kennen. OpenID Connect (OIDC) setzt darauf auf und ergänzt die Authentifizierung — also die Frage, wer der Nutzer überhaupt ist.
Im Zentrum stehen Flows, die Tokens austauschen. Für Web- und Mobile-Apps ist heute der Authorization Code Flow mit PKCE der Standard, weil er auch ohne sicher hinterlegtes Client-Secret funktioniert.
Wann wir darauf setzen.
Überall dort, wo Nutzer sich über bestehende Identitäten anmelden oder ein Produkt auf Drittsysteme zugreifen soll — Microsoft Entra, Google, GitHub. Statt selbst Passwörter zu verwalten, lehnen wir uns an etablierte Identity Provider an.
Das reduziert Angriffsfläche und Aufwand spürbar: Sitzungsverwaltung, MFA und Passwort-Resets liegen beim Provider, der das als Kerngeschäft betreibt.
Wo selbst gebauter Auth gefährlich wird.
OAuth ist subtil. Falsch konfigurierte Redirect-URIs, fehlendes PKCE oder unsauber validierte Tokens öffnen reale Lücken. Eigenbau-Auth scheitert meist nicht am Login, sondern an den Randfällen — Token-Erneuerung, Logout, Widerruf.
Unsere Regel: bewährte Bibliotheken und Provider nutzen, das Protokoll nicht neu erfinden.
