Definition OAuth

Was ist OAuth?

| Autor / Redakteur: Tutanch / Peter Schmitz

OAuth ist ein offenes Protokoll für die Autorisierung und Authentifizierung im Internet.
OAuth ist ein offenes Protokoll für die Autorisierung und Authentifizierung im Internet. (Bild: Chris Messina)

Bei OAuth handelt es sich um ein offenes Sicherheitsprotokoll für die tokenbasierte Autorisierung und Authentifizierung im Internet. Webservices eines Drittanbieters können auf externe Ressourcen zugreifen, ohne dass Benutzernamen und Passwort offenzulegen sind. Dienste von Google, Facebook oder Twitter nutzen OAuth.

Die Abkürzung OAuth steht für Open Authorization und ist ein offenes Protokoll, das eine sichere Autorisierung von Webservices oder mobilen Anwendungen ermöglicht, ohne Drittanbietern Passwörter offenlegen zu müssen. Das Protokoll verwendet eine tokenbasierte Autorisierung und Authentifizierung. Der Prozess zum Erhalt eines Tokens nennt sich Flow.

Mit Hilfe von Open Authorization kann eine User einer Drittanwendung erlauben, auf Daten zuzugreifen, die bei einem anderen Dienst gespeichert sind. Hierfür müssen der Drittanwendung keine geheimen Details der Zugangsberechtigung preisgegeben werden. Die erste Version von Open Authorization entstand in den Jahren 2006 und 2007. Beteiligt an der Entwicklung waren unter anderem Mitarbeiter von Google, Yahoo und Twitter. Die Spezifikation von Open Authorization 1.0 ist in RFC 5849 veröffentlicht. 2009 wurde eine Sicherheitslücke im Protokoll entdeckt. Das Open Authorization-Framework 2.0 wurde im Jahr 2012 im RFC 6749 verabschiedet. OAuth 2.0 ist nicht rückwärtskompatibel zur Version 1.0.

Die verschiedenen Rollen in OAuth

Open Authorization kennt insgesamt vier verschiedene Rollen. Diese Rollen sind:

  • der Resource Owner
  • der Resource Server
  • der Client
  • der Authorization Server

Beim Resource Owner handelt es sich um den User, der einem Drittanbieter Zugriff auf seine Ressourcen gestatten möchte. Auf dem Resource Server sind die geschützten Ressourcen des Users gespeichert. Der Resource Server kann mit Hilfe von Token anderen Zugriff auf die Ressourcen gewähren. Der Client ist der Drittanbieter, der Zugriff auf die geschützten Ressourcen zu erlangen versucht. Der Client selbst kann eine Webanwendung, eine mobile App oder eine Anwendung auf einem Desktoprechner sein. Der Authorization Server schließlich ist für die Authentifizierung des Users verantwortlich und stellt die Zugriffstoken aus. Oft werden der Authorization Server und der Resource Server gemeinsam auf einer Plattform betrieben.

Typischer Anwendungsfall und Autorisierungsvorgang mit OAuth

Ein typischer Anwendungsfall für Open Authorization könnte folgendermaßen aussehen: Ein Anwender möchte einem Drittanbieter B Zugriff auf seine Dokumente gewähren, die auf dem Webservice A gespeichert sind. Da es sich um unterschiedliche Services handelt, muss sich Drittanbieter B beim Webservice A autorisieren, um Zugriff zu erlangen. Der Anwender möchte allerdings seinen Benutzernamen und das Passwort für Webservice A nicht an den Drittanbieter B übermitteln. Für diesen Fall ermöglicht OAuth dem Drittanbieter B den Zugriff auf Basis eines Berechtigungstokens. Der Anwender muss hierfür lediglich dem Webservice A bestätigen, dass Drittanbieter B Zugriff auf bestimmte Ressourcen erhalten darf.

Der Autorisierungsvorgang läuft vereinfacht dargestellt in diesen Schritten ab:

  • 1. Der Anwender wird für die Dateifreigabe von der Seite des Drittanbieters B mit einen Link auf den Webservice A weitergeleitet, bei dem er sich anmelden muss.
  • 2. Er bekommt angezeigt, dass Drittanbieter B auf bestimmte Dokumente zugreifen möchte.
  • 3. Der Anwender stimmt zu und der Webservice A erstellt einen Autorisierungs-Token.
  • 4. Diesen Autorisierungs-Token teilt Webservice A dem Drittanbieter B mit.
  • 5. Gleichzeitig wird der Anwender wieder auf die Seite des Drittanbieters B zurückgeleitet.
  • 6. Drittanbieter B fragt nun mit dem Token beim Webservice A an und erhält Zugriff auf die Dokumente.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist OpenID?

Definition OpenID

Was ist OpenID?

Bei OpenID handelt es sich um ein dezentral arbeitendes Authentifizierungssystem für Webservices. Die Identitäten des Authentifizierungssystems basieren auf URLs und ermöglichen die Anmeldung bei mehreren Diensten mit einer einzigen Identität ohne erneute Eingabe von Usernamen und Passwort (Single-Sign-on). lesen

API Management für mehr Fahrzeugsicherheit

API Security für Connected Cars

API Management für mehr Fahrzeugsicherheit

Geht es um das Thema autonomes Fahren, stehen meist Aspekte wie hochpräzise Sensoren und KI im Vordergrund. Doch die zahlreichen Services, die autonomes Fahren ermöglichen, bergen auch Gefahren, denn mit jeder neuen Funktion kommen auch neue Sicherheitslücken und Schwachstellen. lesen

ownCloud unterstützt OAuth 2.0

Studentische Entwicklung für professionellen Einsatz adaptiert

ownCloud unterstützt OAuth 2.0

OwnCloud unterstützt nun OAuth 2.0 und soll damit insbesondere Applikationen und Web Services Dritter sicher einbinden. Grundlage für die Funktion legten Studenten der Universität Münster. lesen

API-Kommunikation von Microservices absichern

Spezielle Sicherheitsprobleme

API-Kommunikation von Microservices absichern

Microservices-Architekturen unterliegen anderen Sicherheitsrisiken als monolithische Architekturen. Deshalb ist es wichtig, sich mit diesen Themen zu beschäftigen, bevor man Microservices in seine IT-Umgebung integriert. lesen

Benutzerfreundliche Zugangskontrolle

Identity-Management-Portale

Benutzerfreundliche Zugangskontrolle

Identity and Access Management (IAM) ist für viele Unternehmen schlichtweg zu komplex geworden. „Das muss nicht sein“, meint Andreas Martin von FirstAttribute. lesen

10 Tipps für Datenschutz und Datensicherheit in der Cloud

Gute Planung ist die halbe Miete

10 Tipps für Datenschutz und Datensicherheit in der Cloud

Mehr als die Hälfte der Unternehmen in Deutschland setzt mittlerweile auf Speicherkapazitäten, Rechenleistung oder Software aus der Cloud. Vor allem der Mittelstand hat nachgezogen. Nichtsdestotrotz bleiben Sicherheitsbedenken weiterhin aktuell. lesen

Identity- und Access-Management ist kein starres Konstrukt

Flexible Rechteverwaltung

Identity- und Access-Management ist kein starres Konstrukt

Die Aufgabe von Identity Access Management (IAM) ist es, die Zugangsrechte zu Systemen, Anwendungen und Daten zu steuern und überwachen. Das IAM sollte angesichts der dynamischen IT-Infrastrukturen allerdings möglichst flexibel und zukunftssicher sein. lesen

Der richtige Zeitpunkt, Sicherheit neu zu denken

„Disruptive change“

Der richtige Zeitpunkt, Sicherheit neu zu denken

Die „Digitale Transformation“ ist Realität. Der schnelle Wandel gilt oft als Hemmschuh dafür, neue, bessere, zeitgemäße und zukunftssichere Sicherheitskonzepte in Anwendungen umzusetzen. Genau das Gegenteil ist aber der Fall. lesen

Sichere Anwendungen günstiger und schneller entwickeln

Anwendungsentwicklung

Sichere Anwendungen günstiger und schneller entwickeln

Wer hat das Argument nicht schon mal von Entwicklern gehört: Sicherheit würde die Entwicklung verlangsamen und sei teuer. Auch stete Wiederholung macht diese Aussage nicht richtig. Denn genau das Gegenteil ist der Fall! lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45283964 / Definitionen)