Zurück zum Learning Center

Was ist OAuth?

OAuth (Open Authorization) ist ein offener Autorisierungsstandard, der es einer Anwendung oder Website ermöglicht, sicher auf Ressourcen eines anderen Services zuzugreifen, ohne die Anmeldedaten eines Nutzers weitergeben zu müssen.

Wie funktioniert OAuth?

Das Verstehen des OAuth-Workflows ist unerlässlich, um ihn effektiv in Ihren Anwendungen und Services zu implementieren. OAuth mag zwar auf den ersten Blick komplex erscheinen, wenn man es aber in einzelne Schritte aufteilt, ist es viel einfacher zu verstehen. Jede Stufe dieses strukturierten Prozesses trägt zur Verbesserung der Sicherheit bei und ermöglicht den kontrollierten Zugriff auf geschützte Ressourcen.

Wir erklären Ihnen, wie es funktioniert: 

1. Initiierung: Der Client bittet den Besitzer der Ressource über eine Anmeldeschaltfläche oder ein ähnliches Schnittstellenelement um Genehmigung.

2. Autorisierungsanfrage: Der Client leitet den Ressourcenbesitzer zum Autorisierungsserver weiter, wo er seine Anmeldedaten eingibt.

3. Authentifizierung: Der Besitzer der Ressource gibt seine Anmeldedaten an und wird vom Autorisierungsserver authentifiziert.

4. Autorisierungsgenehmigung: Nach der Verifizierung des Clients stellt der Server diesem eine Autorisierungsgenehmigung aus, um die Erlaubnis zur Ressourcennutzung zu symbolisieren.

5. Anforderung eines Zugangstokens: Der Nutzer sendet den erteilten Autorisierungscode an den Server und fordert ein Zugriffstoken an, um eine ordnungsgemäße Autorisierung zu erhalten. 

6. Token-Ausgabe: Nach Erhalt der Genehmigung prüft der Autorisierungsserver diese und stellt ein Zugangs-Token aus.

7. Zugang zu Ressourcen: Mithilfe des Zugriffstokens kann der Client nun geschützte Ressourcen des Servers sicher anzeigen und nutzen. 

8. Token-Validierung: Der Server muss die Gültigkeit eines Tokens überprüfen, bevor er den Zugang zu angeforderten Ressourcen gewährt. 

9. Aktualisierungsprozess: Wenn ein Zugangstoken abläuft, können Sie ein Refresh-Token bekommen, das es Ihnen ermöglicht, ein neues Zugangstoken zu erhalten, ohne den gesamten Prozess zu durchlaufen.

10. Widerruf: Zugriffs- und Aktualisierungs-Tokens können bei Bedarf widerrufen werden, um Zugriffsberechtigungen zu entfernen.

OAuth vs. OAuth 2.0

Nach der Veröffentlichung von OAuths im Jahr 2007 entwickelten sich die Webanwendungen schnell weiter, und bald darauf schien das Log etwas veraltet zu sein. OAuth 2.0 wurde eingeführt, um die Probleme zu beheben und Verbesserungen vorzunehmen, die mit dem älteren Log nicht möglich waren. Das Verstehen der Unterschiede zwischen den beiden Versionen ist entscheidend für die Wahl der besten Version für Ihren Anwendungsfall.

Hier zeigen wir Ihnen einen Vergleich der beiden Versionen: 

Funktion

OAuth 1.0

OAuth 2.0

Komplexität

Benötigt komplexe Implementierungen, die kryptografische Berechnungen und Signaturerstellung erfordern

Hat ein einfaches Log-Design und eine unkompliziertere Implementierung

Signatur-Anforderungen

Erfordert kryptografische Signaturen für jede Anfrage

Da es sich für die Transportsicherheit auf TLS/HTTPS stützt, benötigt es keine Signaturen

Nutzererlebnis

Hat einen komplizierten Ablauf mit zusätzlichen Schritten zur Authentifizierung

Der Autorisierungsablauf ist rationalisiert und erfordert nur wenig Nutzerinteraktion

Arten von Token

Verwendet eine einzige Art von Token mit begrenzter Flexibilität

Verfügt über mehrere Arten von Token und bietet somit mehr Flexibilität

Arten von Clients

Bietet nur eine begrenzte Unterstützung für eine Vielzahl von Client-Typen

Bietet umfassende Unterstützung für Web-, Mobil- und IoT-Anwendungen mit spezifischen Sicherheitsanforderungen

Authorisierungsablauf

Einzelner Authorisierungsablauf

Verfügt über mehrere Authorisierungsabläufe für verschiedene Anwendungsfälle

Sicherheitsüberlegungen

Die integrierten Signaturmethoden bieten erhöhte Sicherheit.

Erfordert TLS-Implementierung, bietet aber flexiblere Sicherheitsoptionen.

Einführung und Unterstützung

Unterstützt von nur wenigen modernen Anwendungen

Weitgehende Unterstützung seitens großer Serviceanbieter

OAuth und Single Sign-On (SSO)

OAuth ist unerlässlich für die Unterstützung von SSO-Funktionen, die Erhöhung der Sicherheit und der Nutzerfreundlichkeit sowie die Bereitstellung einer sicheren Grundlage für die Identitätsverwaltung. Während es hauptsächlich als Autorisierungslog fungiert, ermöglicht seine Integration mit SSO Nutzern die Interaktion mit mehreren Anwendungen mit nur einem Satz von Anmeldedaten.

Hier beschreiben wir, wie OAuth SSO funktioniert:

  • Die Rolle von OAuths beim SSO: OAuth stellt das Autorisierungs-Framework bereit, auf das sich SSO zur Verwaltung des Plattformzugriffs stützt. 

  • Integration mit Identitätsanbietern: Das Log arbeitet mit Identitätsanbietern (IdPs) zusammen, um Nutzerdaten zu verifizieren und die Authentifizierung über verschiedene Services hinweg zu verwalten. 

  • Föderations-Logs: OAuth wird häufig mit Logs wie SAML und OpenID Connect kombiniert, um umfassende Identitätsmanagementlösungen zu bilden.

  • Vorteile für das Nutzererlebnis: Mit OAuth-basiertem SSO erhalten Nutzer schnellen Zugang zu mehreren Services ohne wiederholte Logins, was die Nutzerfreundlichkeit erhöht.

  • Sicherheitsvorteile: OAuth vereinfacht die Zugangskontrolle und erhöht die Sicherheit durch zentrale Authentifizierung.

  • Enterprise-Anwendungen: Das OAuth-Log ermöglicht es Unternehmen, SSO-Lösungen zu implementieren, die ihren spezifischen Sicherheitsanforderungen entsprechen. 

  • Mobile und Webintegration: Dank seiner Anpassungsfähigkeit ermöglicht OAuth konsistente SSO-Erlebnisse über verschiedene Geräte und Plattformen hinweg.

  • Herausforderungen und Überlegungen: Die Implementierung von OAuth-basiertem SSO kann Herausforderungen mit sich bringen, z. B. die Integration verschiedener Identitätsanbieter und die Sicherung der Token-Speicherung.

10 bewährte Verfahren für die Implementierung von OAuth

Die erfolgreiche Implementierung von OAuth erfordert die Einhaltung bewährter Verfahren und die Beachtung von Sicherheitsaspekten. Die ordnungsgemäße Ausführung von OAuth gewährleistet die Sicherheit der Nutzerdaten und bewahrt das Vertrauen zwischen Ihrem Unternehmen und seinen Kunden. 

Einige der wichtigsten bewährten Verfahren, die Sie befolgen sollten, sind:

1. Verwenden Sie eine sichere Kommunikation

Verwenden Sie immer HTTPS für die gesamte OAuth-Kommunikation, einschließlich Redirect-URLs. HTTPS verschlüsselt den Traffic und schützt so vor Missbrauch und verhindert, dass Lauscher Anmeldedaten oder Token abfangen können. Legen Sie eine strenge Richtlinie für die Transportsicherheit fest, um diese Schutzschicht zu festigen.

2. Implementieren Sie eine angemessene Token-Speicherung

Vermeiden Sie die Einbettung von Überbringer-Token in URLs, Cookies oder lokalem Speicher, wo clientseitiger Code auf sie zugreifen kann. Speichern Sie die Token stattdessen serverseitig mit geeigneter Verschlüsselung, Zugriffskontrolle und Ablaufrichtlinien, um Missbräuche im Falle einer Sicherheitsverletzung zu verhindern.

3. Validieren Sie alle Eingaben

Validieren Sie alle Eingabewerte auf Serverseite gründlich, um Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) abzuwehren. Ungeprüfte Eingaben können zu Datenverletzungen oder Kontoübernahmen führen.

4. Verwenden Sie kurzlebige Zugriffstoken

Entwerfen Sie Zugangstoken mit Ablauf- und Aktualisierungsmechanismen, um die Anfälligkeit zu begrenzen. Definieren Sie klare Richtlinien für die Erneuerung und den Entzug von Token entsprechend Ihren Sicherheitsanforderungen und Nutzerpräferenzen. 

5. Implementieren Sie PKCE

PKCE (Proof Key für Code Exchange) fügt dem OAuth-Datenfluss eine zusätzliche Sicherheitsebene hinzu und stellt sicher, dass nur Ihre Anwendung, nicht aber Angreifer, Autorisierungscodes für Token austauschen können. Aktivieren Sie PKCE standardmäßig für öffentliche Clients.

6. Sichern Sie Client-Geheimnisse

Speichern Sie Client-Geheimnisse in Umgebungsvariablen oder Hash-Formaten, schränken Sie den Zugriff auf sie ein und tauschen Sie sie regelmäßig aus, um das Risiko von Sicherheitslücken zu verringern.

7. Implementieren Sie eine robuste Fehlerbehandlung

Vermeiden Sie die Preisgabe sensibler Informationen in Fehlerantworten. Geben Sie allgemeine Meldungen an Nutzer zurück und loggen Sie Fehlerdetails serverseitig, um zu verhindern, dass Angreifer Einblicke in potenzielle Schwachstellen erhalten.

8. Regelmäßige Sicherheitsprüfungen

Führen Sie regelmäßig Penetrationstests und Code-Audits durch, um proaktiv alle OAuth-Probleme zu erkennen. Prüfen Sie auf Schwachstellen wie unsichere Speicherung, unzureichende Eingabevalidierung, schwache Tokenstärke, unsachgemäße Verwendung von SSL usw. Erkennen und beheben Sie eventuelle Schwachstellen.

9. Halten Sie mit den neusten Updates Schritt

Wenn Schwachstellen entdeckt werden, aktualisieren Sie die neuesten gepatchten Versionen der OAuth-Bibliotheken und -Implementierungen. Abonnieren Sie Sicherheits-Update-Feeds für Ihre Programmiersprachen und Frameworks, um Ihre OAuth-Implementierung aktuell und sicher zu halten. 

10. Nutzerzustimmung und Transparenz

Teilen Sie den Nutzern mit, auf welche Daten Ihre Anwendung zugreifen kann und warum. Fordern Sie nur die notwendigen Informationen an und bieten Sie granulare Genehmigungsoptionen an, um die Daten der Nutzer zu schützen und ihr Vertrauen zu erhalten.

Erhöhen Sie die OAuth-Sicherheit mit Fastly

OAuth ist eine wichtige Komponente der modernen Websicherheit, die einen sicheren, delegierten Zugriff ermöglicht und gleichzeitig die Sicherheit der Nutzerdaten gewährleistet. Angesichts der ständigen Weiterentwicklung von Cyber-Bedrohungen sollten Sie die Implementierung von OAuth für Ihr Unternehmen in Betracht ziehen, um vertrauliche Nutzerdaten zu schützen. 

Fastlys hochentwickelte Edge-Cloud-Plattform erhöht die OAuth-Sicherheit durch die Integration in die bestehenden Authentifizierungs-Frameworks Ihres Unternehmens. Diese einfache Integration ermöglicht es Fastly, eine zusätzliche Schutzebene zu bieten und gleichzeitig die Performance aufrechtzuerhalten. 

Fastly bietet unter anderem die folgenden Funktionen und Vorteile:

  • Traffic-Kontrolle in Echtzeit: Die Fastly Edge-Plattform überwacht die Verwendung von OAuth-Token und verhindert Bedrohungen wie die Wiederverwendung oder den Diebstahl von Token durch eine präzise Kontrolle des Traffic-Verlaufs. 

  • Integration einer Web-Anwendungs-Firewall (WAF): Fastlys Next-Gen WAF schützt OAuth APIs, indem es verdächtigen Traffic und bekannte Schwachstellen auf der Edge blockiert.

  • DDoS-Schutz: Fastly absorbiert bösartigen Datenverkehr, bevor er Ihren Server erreicht, und schützt so OAuth-Endpunkte vor DDoS-Angriffen

  • Content Delivery Network (CDN) Performance: Fastly beschleunigt OAuth-Authentifizierungsanfragen durch die Zwischenspeicherung nicht-vertraulicher Daten, da es ein globales CDN verwendet.

  • TLS-Terminierung: Fastly unterstützt die End-zu-End-Verschlüsselung über TLS und stellt damit sicher, dass OAuth-Tokens während der Übertragung sicher bleiben.

  • Nutzerdefinierte Edge-Logik: Mit Fastlys VCL (Varnish Configuration Language) können Unternehmen strengere OAuth-Token-Richtlinien erstellen und implementieren, wie z. B. Token-Ablauf- und Aktualisierungskontrollen.

Besuchen Sie die Website und erfahren Sie, wie Fastlys Next-Gen WAF die Web-Sicherheit Ihres Unternehmens erhöhen kann.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.

Fastly kostenlos testenExperten kontaktieren
Fastly
© Fastly 2025