Diese Seite ist auch auf English verfügbar.Auf English wechseln
KAITUM AIEigene Marke aus unserer Familie — Execution AI für den Automotive-Vertrieb.Auf nrmnext.com
Wiki

OAuth 2.0 & OIDC.

Wiki-Team··3 Min. Lesezeit

Der Standard für „Login mit X". Flows, Tokens, PKCE — und wo selbst gebauter Auth gefährlich wird.

Kategorie · Security & Compliance

Der Standard hinter „Login mit X“.

OAuth 2.0 ist ein Autorisierungs-Protokoll: Es regelt, wie eine Anwendung im Namen eines Nutzers auf eine andere zugreifen darf, ohne dessen Passwort zu kennen. OpenID Connect (OIDC) setzt darauf auf und ergänzt die Authentifizierung — also die Frage, wer der Nutzer überhaupt ist.

Im Zentrum stehen Flows, die Tokens austauschen. Für Web- und Mobile-Apps ist heute der Authorization Code Flow mit PKCE der Standard, weil er auch ohne sicher hinterlegtes Client-Secret funktioniert.

Wann wir darauf setzen.

Überall dort, wo Nutzer sich über bestehende Identitäten anmelden oder ein Produkt auf Drittsysteme zugreifen soll — Microsoft Entra, Google, GitHub. Statt selbst Passwörter zu verwalten, lehnen wir uns an etablierte Identity Provider an.

Das reduziert Angriffsfläche und Aufwand spürbar: Sitzungsverwaltung, MFA und Passwort-Resets liegen beim Provider, der das als Kerngeschäft betreibt.

Wo selbst gebauter Auth gefährlich wird.

OAuth ist subtil. Falsch konfigurierte Redirect-URIs, fehlendes PKCE oder unsauber validierte Tokens öffnen reale Lücken. Eigenbau-Auth scheitert meist nicht am Login, sondern an den Randfällen — Token-Erneuerung, Logout, Widerruf.

Unsere Regel: bewährte Bibliotheken und Provider nutzen, das Protokoll nicht neu erfinden.

WEITERFÜHREND

Passt das zu einem Thema bei Ihnen?

Wenn Sie darüber sprechen möchten, wie wir das für Ihren Kontext übersetzen — 30 Minuten reichen für den Einstieg.

Weitere Artikel