Dallonses Logo

OAuth

Was ist OAuth?

OAuth ist ein Protokoll für delegierte Autorisierung. Es lässt eine Anwendung auf einen Ausschnitt der Daten eines Nutzers bei einem anderen Dienst zugreifen, ohne je das Passwort dieses Nutzers zu verarbeiten. Statt Ihr Google-Passwort in eine Drittanbieter-App zu tippen, werden Sie zu Google weitergeleitet, genehmigen einen bestimmten Satz an Berechtigungen, und die App erhält einen Zugriffstoken, der genau auf das beschränkt ist, was Sie erlaubt haben. Das Passwort verlässt Google nie.

Die Kernidee ist Einwilligung und Umfang. Der Nutzer gewährt begrenzten, widerrufbaren Zugriff und kann ihn später zurückziehen, ohne sein Passwort zu ändern. Das ist der "Mit Google anmelden"- oder "Slack verbinden"-Ablauf, den Sie überall sehen. Es lohnt sich, genau zu sein: bei OAuth geht es um Autorisierung, was eine App tun darf, nicht um Authentifizierung, den Nachweis, wer Sie sind. Das "Anmelden mit"-Erlebnis ist eigentlich OpenID Connect, eine Identitätsschicht auf OAuth. Eine Kalender-App, die Termine zu Ihrem Kalender hinzufügen muss, nutzt OAuth, um einen kalenderbeschränkten Token zu erhalten, sodass sie Termine schreiben, aber nicht Ihre E-Mails lesen oder etwas anfassen kann, das Sie nicht genehmigt haben.

Der aktuelle Standard ist OAuth 2.0, mit mehreren Abläufen für verschiedene Situationen, von serverseitigen Web-Apps über mobile Apps bis zum Zugriff von Maschine zu Maschine.

OAuth bei Dallonses

Wann immer ein Produkt sich mit Google, Microsoft, Slack oder einem Dienst verbinden muss, dem ein Nutzer bereits vertraut, ist OAuth, wie wir es tun, denn Nutzer Passwörter an Dritte übergeben zu lassen ist zugleich ein Sicherheitsrisiko und für ernsthafte Integrationen ein Ausschlusskriterium. Wir setzen den zur Situation passenden Ablauf um, beschränken Tokens eng auf das, was die Funktion wirklich braucht, und handhaben Token-Erneuerung und -Widerruf, damit die Verbindung überlebt, ohne zur Belastung zu werden.

Die Details sind, wo OAuth schiefgeht, daher bekommen sie unsere Aufmerksamkeit. State-Parameter gegen CSRF, sichere Token-Speicherung, der Unterschied zwischen Autorisierung und Identität korrekt behandelt statt vermengt. Das liegt innerhalb unserer individuellen Webanwendungsentwicklung und unserer API-first-Entwicklung, neben dem Rest des Auth-Stacks, denn eine Integration, die Zugriff leckt, ist schlimmer als eine, die nie gebaut wurde.

Verbinden Sie Ihr Produkt mit den Diensten, in denen Ihre Nutzer bereits leben? Bringen wir den OAuth-Ablauf in Ordnung.

Sprechen Sie mit uns über Integrationen

Verwandte Dienstleistungen

Verwandte Arbeiten

Spring GDS 25. Jubiläum

Ein Logistikunternehmen, das in 190 Länder versendet, hat etwas gebaut, um an sich selbst zu liefern.

Vizitio

Eine Marke in ein funktionierendes Geschäft verwandeln.

Access Ticket

Eine halbe Million Menschen. Eine App. Null Chaos.

Bereit zum Zusammenarbeiten?

Termin buchen
Aymón hält ein Tools-Magazin vor seinem Gesicht
Ari arbeitet auf einem Laptop im Freien, umgeben von Pflanzen
Draufsicht auf einen Holzschreibtisch mit Tastatur, Maus und Kopfhörern
Handgezeichnete Illustration einer Hand, die mit den Fingern schnippt
Nico lehnt an einem Wasserspender neben einem Feuerlöscher
Nahaufnahme eines offenen Computers mit Leiterplatte und Komponenten auf einem Holzschreibtisch
Bernat und Andreu arbeiten zusammen an einem Schreibtisch mit Monitoren und einem Laptop
Handgezeichnete Illustration einer offenen Hand, die winkt
Aymón hält ein Tools-Magazin vor seinem Gesicht
Ari arbeitet auf einem Laptop im Freien, umgeben von Pflanzen
Draufsicht auf einen Holzschreibtisch mit Tastatur, Maus und Kopfhörern
Handgezeichnete Illustration einer Hand, die mit den Fingern schnippt
Nico lehnt an einem Wasserspender neben einem Feuerlöscher
Nahaufnahme eines offenen Computers mit Leiterplatte und Komponenten auf einem Holzschreibtisch
Bernat und Andreu arbeiten zusammen an einem Schreibtisch mit Monitoren und einem Laptop
Handgezeichnete Illustration einer offenen Hand, die winkt