OAuth 2.0 ermöglicht Anwendungen den Zugriff auf Benutzerressourcen ohne Passwort-Weitergabe. Google Login, GitHub Login — das ist OAuth.

Flows¶

Authorization Code + PKCE: Web und Mobile (empfohlen)
Client Credentials: Machine-to-Machine
Device Authorization: TV, IoT
Implicit (DEPRECATED): Nicht verwenden

Authorization Code + PKCE¶

import hashlib, base64, secrets code_verifier = secrets.token_urlsafe(64) code_challenge = base64.urlsafe_b64encode( hashlib.sha256(code_verifier.encode()).digest() ).rstrip(b’=’).decode()

Code gegen Tokens tauschen¶

token = requests.post(“https://auth.example.com/token”, data={ “grant_type”: “authorization_code”, “code”: authorization_code, “client_id”: “myapp”, “code_verifier”: code_verifier, }).json()

Client Credentials¶

token = requests.post(“https://auth.example.com/token”, data={ “grant_type”: “client_credentials”, “client_id”: “service-a”, “client_secret”: “secret”, “scope”: “api.read”, }).json()

Wichtigste Erkenntnis¶

Auth Code + PKCE für Web/Mobile, Client Credentials für M2M. Immer State validieren, kurze Token-Ablaufzeiten.

securityoauthautentizaceapi

CORE SYSTEMS Team

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Alle Artikel

OAuth 2.0 — Vollständiger Leitfaden zu den Flows

Flows¶

Authorization Code + PKCE¶

Code gegen Tokens tauschen¶

Client Credentials¶

Wichtigste Erkenntnis¶

CORE SYSTEMS Team

Mehr Know-how

OAuth 2.0 und JWT — Moderne Authentifizierung für Microservices

Der vollstaendige Leitfaden zu OAuth/OIDC

JWT Best Practices — JSON Web Tokens richtig einsetzen