OAuth (Open Authorization) ist ein offenes Standardprotokoll für Autorisierungen, das es Anwendungen ermöglicht, auf Ressourcen eines Nutzers zuzugreifen, ohne dessen Zugangsdaten (z. B. Passwort) direkt zu kennen. Es wird häufig für Single Sign-On (SSO) und API-Zugriffe verwendet.
Wie funktioniert OAuth?
OAuth arbeitet mit Tokens, die einer Anwendung erlauben, im Namen eines Nutzers auf eine Ressource zuzugreifen. Der typische Ablauf sieht so aus:
- Anfrage auf Autorisierung: Eine Anwendung (Client) möchte auf geschützte Daten eines Nutzers zugreifen (z. B. Facebook-Kontakte).
- Nutzer-Authentifizierung: Der Nutzer wird zur Anmeldeseite des Anbieters (z. B. Google, Facebook) weitergeleitet und gibt seine Login-Daten ein.
- Erteilung einer Erlaubnis: Der Nutzer bestätigt, dass die Anwendung auf bestimmte Daten zugreifen darf.
- Token-Erhalt: Die Anwendung erhält ein Access Token, mit dem sie auf die freigegebenen Daten zugreifen kann.
- Zugriff auf Ressourcen: Die Anwendung verwendet das Token, um Anfragen an den API-Server zu stellen, ohne das Nutzerpasswort zu kennen.
OAuth 1.0 vs. OAuth 2.0
- OAuth 1.0: Komplexer mit kryptografischer Signatur, aber sicher.
- OAuth 2.0: Einfacher, nutzt HTTPS zur Absicherung, wird heute meist verwendet.
Beispiel-Anwendungen von OAuth
- "Mit Google/Facebook/Apple anmelden"-Buttons
- Drittanbieter-Apps, die auf APIs von Google Drive, Dropbox oder Twitter zugreifen
- Zahlungsdienste wie PayPal, die sich in andere Apps integrieren
