De standaard voor 'inloggen met X'. Flows, tokens, PKCE — en waar zelfgebouwde auth gevaarlijk wordt.
Categorie · Security & Compliance
De standaard achter „inloggen met X“.
OAuth 2.0 is een autorisatieprotocol: het regelt hoe een applicatie namens een gebruiker toegang mag krijgen tot een andere, zonder diens wachtwoord te kennen. OpenID Connect (OIDC) bouwt daarop voort en vult de authenticatie aan — dus de vraag wie de gebruiker überhaupt is.
Centraal staan flows die tokens uitwisselen. Voor web- en mobiele apps is tegenwoordig de Authorization Code Flow met PKCE de standaard, omdat die ook zonder veilig opgeslagen client-secret werkt.
Wanneer wij hierop zetten.
Overal waar gebruikers zich via bestaande identiteiten aanmelden of een product toegang tot derde systemen moet krijgen — Microsoft Entra, Google, GitHub. In plaats van zelf wachtwoorden te beheren, leunen wij op gevestigde identity providers.
Dat verkleint het aanvalsoppervlak en de inspanning merkbaar: sessiebeheer, MFA en wachtwoordresets liggen bij de provider, die dat als kernactiviteit uitvoert.
Waar zelfgebouwde auth gevaarlijk wordt.
OAuth is subtiel. Verkeerd geconfigureerde redirect-URI's, ontbrekend PKCE of onzorgvuldig gevalideerde tokens openen reële lekken. Eigenbouw-auth faalt meestal niet op de login, maar op de randgevallen — tokenvernieuwing, logout, intrekking.
Onze regel: beproefde bibliotheken en providers gebruiken, het protocol niet opnieuw uitvinden.
