OAuth 2.0
Was ist OAuth 2.0?
OAuth 2.0Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
OAuth 2.0 trennt die Rollen Ressourceninhaber (Benutzer), Client (Anwendung), Autorisierungsserver (gibt Tokens aus) und Ressourcenserver (stellt die API bereit). Der Client erhält über einen definierten Grant Flow ein Access Token – Authorization Code mit PKCE für interaktive Apps, Client Credentials für Service-zu-Service-Aufrufe, Device Code für Geräte ohne Eingabemöglichkeit – und ruft anschließend die API damit auf, üblicherweise als Bearer Token. Scopes und Audience grenzen ein, was das Token darf. OAuth 2.0 ist die Grundlage von OpenID Connect, Cloud-API-Zugriffen und „Mit … anmelden"-Buttons. Häufige Fehler: Implicit Grant, fehlendes PKCE, schwache Redirect-URI-Prüfung oder unsichere Token-Speicherung im Client.
● Beispiele
- 01
Eine mobile App holt sich per Authorization Code mit PKCE ein Token für eine Banking-API.
- 02
Ein Backend-Dienst nutzt Client Credentials, um Ereignisse an eine Drittanbieter-API zu senden.
● Häufige Fragen
Was ist OAuth 2.0?
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet OAuth 2.0?
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
Wie schützt man sich gegen OAuth 2.0?
Schutzmaßnahmen gegen OAuth 2.0 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OAuth 2.0?
Übliche alternative Bezeichnungen: OAuth2.