_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Der vollstaendige Leitfaden zu OAuth/OIDC

07. 09. 2021 1 Min. Lesezeit intermediate

OAuth 2.0 und OIDC sind die Grundlagen moderner Authentifizierung. Verstehen Sie sie einmal, nutzen Sie sie ueberall.

OAuth 2.0 vs OIDC

  • OAuth 2.0 – Autorisierung (Zugriff auf Ressourcen)
  • OIDC – Authentifizierung (Benutzeridentitaet) = Schicht ueber OAuth 2.0

Tokens

  • Access Token – kurzlebig, fuer API-Zugriff
  • Refresh Token – langlebig, zur Erneuerung des Access Tokens
  • ID Token – JWT mit Benutzerinfo (OIDC)

Authorization Code Flow (empfohlen)

  1. Benutzer klickt auf “Login with Google”
  2. Weiterleitung zu Google Auth
  3. Benutzer meldet sich an, erteilt Zustimmung
  4. Google leitet zurueck mit Authorization Code
  5. Backend tauscht Code gegen Tokens
  6. Backend gibt Session/JWT zurueck

PKCE (fuer SPA und Mobile)

Authorization Code Flow + Proof Key for Code Exchange. Schuetzt gegen Code-Interception-Angriffe. Pflicht fuer Public Clients.

JWT

// Header
{ “alg”: “RS256”, “typ”: “JWT” }
// Payload
{ “sub”: “user123”, “email”: “[email protected]”, “exp”: 1707900000 }
// Signature
RSASHA256(header + payload, private_key)

Best Practices

  • Access Token kurz (5-15 Minuten)
  • Refresh Token rotieren
  • PKCE immer fuer SPA/Mobile
  • Tokens auf dem Server validieren
  • Tokens nicht im localStorage speichern (XSS)
  • httpOnly Cookies fuer Web verwenden

Empfehlung

Implementieren Sie OAuth/OIDC nicht selbst. Verwenden Sie Auth0, Clerk, Keycloak oder next-auth.

oauthoidcsecurityautentizace
Teilen:

CORE SYSTEMS Team

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Alle Artikel

Mehr Know-how

OpenID Connect — Authentifizierung auf Basis von OAuth 2.0

Wie OIDC OAuth um Identität erweitert. ID Token, UserInfo, Discovery.

OAuth 2.0 — Vollständiger Leitfaden zu den Flows

Authorization Code, PKCE, Client Credentials. Wann welchen Flow verwenden.

OAuth 2.0 und JWT — Moderne Authentifizierung für Microservices

Wie man OAuth 2.0 und JSON Web Tokens zur Absicherung von REST-APIs und Microservices implementiert.