Zum Inhalt springen
Zum Hauptinhalt springen
Groenewold IT Solutions LogoGroenewold IT Solutions – Startseite
🇬🇧
Sicherheit

Authentifizierung / OAuth

Authentifizierung verifiziert die Identität eines Nutzers. OAuth 2.0 ermöglicht sicheren Drittanbieter-Zugriff, MFA erhöht die Sicherheit durch mehrere Faktoren.

Sichere Authentifizierung ist das Fundament jeder Webanwendung und API. In einer Welt zunehmender Cyberangriffe reichen einfache Passwörter längst nicht mehr aus. Moderne Authentifizierung kombiniert Protokolle wie OAuth 2.0, OpenID Connect und SAML mit Multi-Faktor-Authentifizierung, um Benutzer sicher zu identifizieren und Daten zu schützen.

Was ist Authentifizierung / OAuth?

Authentifizierung (Authentication, AuthN) ist der Prozess der Identitätsverifikation: Wer ist der Nutzer? Dies geschieht typischerweise durch Wissen (Passwort), Besitz (Smartphone, Security Key) oder biometrische Merkmale (Fingerabdruck, Gesichtserkennung). Autorisierung (Authorization, AuthZ) folgt danach: Was darf der Nutzer? OAuth 2.0 ist ein offenes Protokoll für delegierte Autorisierung – es erlaubt einer Anwendung, im Namen eines Nutzers auf Ressourcen zuzugreifen, ohne das Passwort zu kennen. OpenID Connect baut auf OAuth 2.0 auf und fügt eine Authentifizierungsschicht hinzu.

Wie funktioniert Authentifizierung / OAuth?

Bei OAuth 2.0 leitet die Anwendung den Nutzer zum Identity Provider (z.B. Google, Azure AD) weiter. Dort loggt sich der Nutzer ein und erteilt der Anwendung eine Berechtigung (Consent). Der Identity Provider sendet einen Authorization Code an die Anwendung zurück. Die Anwendung tauscht diesen Code gegen ein Access Token (kurzlebig, für API-Zugriffe) und ein Refresh Token (langlebig, zum Erneuern des Access Tokens) ein. Das Access Token wird bei jedem API-Aufruf mitgesendet und vom Server verifiziert. JWT (JSON Web Tokens) sind ein gängiges Token-Format, das Claims (Nutzer-ID, Rollen, Ablaufzeit) signiert enthält.

Praxisbeispiele

1

Social Login: Nutzer melden sich per Google, Microsoft oder Apple bei einer Anwendung an, ohne ein neues Konto erstellen zu müssen – OAuth 2.0 im Einsatz.

2

MFA im Online-Banking: Nach dem Passwort wird ein zweiter Faktor verlangt – TAN per SMS, Push-Bestätigung in der Banking-App oder FIDO2 Security Key.

3

SSO in Unternehmen: Mitarbeiter loggen sich einmal bei Azure AD ein und haben Zugriff auf alle verbundenen Anwendungen (Office 365, Slack, Jira) ohne erneuten Login.

4

API-Authentifizierung: Ein Mobile-App-Backend authentifiziert Nutzer per JWT-Token – bei jedem API-Aufruf wird das Token geprüft, ohne Datenbankabfrage für die Session.

5

Passkeys (FIDO2): Passwortlose Authentifizierung per biometrischem Sensor oder Security Key – sicherer und bequemer als Passwörter.

Typische Anwendungsfälle

Web-Anwendungen: Benutzer-Login mit Passwort, Social Login und optionaler Zwei-Faktor-Authentifizierung

API-Sicherheit: Token-basierte Authentifizierung für REST und GraphQL APIs

Enterprise SSO: Zentrales Identity Management für alle Unternehmensanwendungen

Mobile Apps: Biometrische Authentifizierung (Face ID, Fingerabdruck) kombiniert mit Server-seitiger Token-Validierung

IoT-Geräte: Zertifikatsbasierte Authentifizierung für Maschine-zu-Maschine-Kommunikation

Vorteile und Nachteile

Vorteile

  • OAuth 2.0 vermeidet die Weitergabe von Passwörtern an Drittanbieter-Anwendungen
  • SSO reduziert Passwort-Müdigkeit und erhöht die Nutzerzufriedenheit
  • MFA senkt das Risiko kompromittierter Konten um über 99% (laut Microsoft)
  • Standardisierte Protokolle (OAuth, OIDC, SAML) gewährleisten Interoperabilität
  • Passkeys eliminieren Phishing-Risiken komplett

Nachteile

  • Komplexität: OAuth 2.0 hat viele Flows und Konfigurationsoptionen, die Fehlerquellen bergen
  • Abhängigkeit vom Identity Provider bei Social Login (Google, Apple können Konditionen ändern)
  • Token-Management erfordert sorgfältige Implementierung (Ablaufzeiten, Refresh, Revocation)
  • MFA kann Nutzererfahrung beeinträchtigen, wenn schlecht implementiert

Häufig gestellte Fragen zu Authentifizierung / OAuth

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung (AuthN) beantwortet: Wer bist du? – durch Passwort, Biometrie oder Token. Autorisierung (AuthZ) beantwortet: Was darfst du? – durch Rollen, Berechtigungen oder Policies. Zuerst wird authentifiziert, dann autorisiert. OAuth 2.0 ist primär ein Autorisierungsprotokoll; OpenID Connect fügt die Authentifizierung hinzu.

Sind Passkeys sicherer als Passwörter?

Ja, Passkeys sind deutlich sicherer. Sie nutzen asymmetrische Kryptografie: Der private Schlüssel verlässt nie das Gerät, es gibt nichts, was bei einem Datenleck gestohlen werden könnte. Passkeys sind phishing-resistent (sie funktionieren nur auf der korrekten Domain), eliminieren schwache Passwörter und machen Passwort-Datenbanken überflüssig. Apple, Google und Microsoft unterstützen Passkeys seit 2023.

Wie implementiere ich OAuth 2.0 richtig?

Nutzen Sie bewährte Bibliotheken wie NextAuth.js, Auth0 oder Keycloak statt einer Eigenentwicklung. Verwenden Sie den Authorization Code Flow mit PKCE (Proof Key for Code Exchange) für Web- und Mobile-Apps. Speichern Sie Tokens sicher (httpOnly Cookies statt localStorage), setzen Sie kurze Ablaufzeiten für Access Tokens (15 Minuten), und implementieren Sie Token-Rotation für Refresh Tokens.

Verwandte Begriffe

CybersicherheitFirewallVPNAPIHTTP / HTTPS

Authentifizierung / OAuth in Ihrem Projekt einsetzen?

Wir beraten Sie gerne zu Authentifizierung / OAuth und finden die optimale Lösung für Ihre Anforderungen. Profitieren Sie von unserer Erfahrung aus über 200 Projekten.

Sichere Authentifizierung implementierenKostenlos beraten lassen
Zurück zum IT-Glossar

Nächster Schritt

Wir helfen Ihnen, den nächsten Schritt zu definieren.

Eine realistische Perspektive zu Ihrem Vorhaben – Substanz statt Sales-Pitch.

Projekt-Check anfordernKostenloses Erstgespräch sichern

30 Min. Strategiegespräch – 100% kostenlos & unverbindlich

Was ist Authentifizierung & OAuth? Sicherheit erklärt