S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Authentifizierung

OAuth 2.0

Offenes Autorisierungsprotokoll, das Drittanbieter-Anwendungen ermöglicht, im Namen eines Nutzers auf Ressourcen zuzugreifen, ohne dessen Passwort zu kennen.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Statt deinem Passwort gibst du einer App einen "Schlüssel" mit dem sie nur bestimmte Dinge tun darf. Wie ein Hotelschlüssel der nur bestimmte Räume öffnet — nicht deinen Mastercode. "Mit Google anmelden" nutzt OAuth: Google gibt der App eine Genehmigung, du gibst dein Google-Passwort nie weiter.

Ausführliche Erklärung

OAuth 2.0 (RFC 6749) ist das Fundament moderner API-Autorisierung. Es ermöglicht delegierten Zugriff: "Melde dich mit Google an", "Verbinde mit GitHub" — ohne das eigentliche Passwort weiterzugeben. Flow-Typen: Authorization Code (sicherste, für Server-Apps), Implicit (veraltet), Client Credentials (Service-to-Service), Device Flow. OAuth 2.0 ist ein Autorisierungsprotokoll, kein Authentifizierungsprotokoll — für Authentifizierung wird OpenID Connect (OIDC) darüber gelegt. Häufige Fehler: unsichere Redirect URIs, fehlende State-Parameter (CSRF-Risiko), zu breite Scopes.

>Wie funktioniert das?

1

Nutzer klickt "Mit Google anmelden" in einer App

2

App leitet Nutzer zu Google (Authorization Server) mit Scope-Angabe

3

Nutzer authentifiziert sich bei Google und genehmigt die Zugriffsanfrage

4

Google leitet zurück zur App mit Authorization Code

5

App tauscht Code gegen Access Token (+ Refresh Token)

6

App nutzt Token für API-Zugriff im Namen des Nutzers.

?Häufig gestellte Fragen
Antwort

Praktisch alle modernen Webanwendungen und APIs — Google, Facebook, GitHub, Microsoft, Twitter und Tausende weitere Dienste nutzen OAuth 2.0 als Autorisierungsprotokoll.

Antwort

OAuth 2.0 ist ein Autorisierungsprotokoll (Zugriff auf Ressourcen). OpenID Connect (OIDC) ist eine Identitätsschicht auf OAuth 2.0 die Authentifizierung hinzufügt (Wer ist der Nutzer?).

Antwort

Der State-Parameter verhindert CSRF-Angriffe im OAuth-Flow — er ist ein zufälliger Wert der bei der Autorisierungsanfrage mitgesendet und beim Callback verifiziert wird.

Antwort

Beim Implicit Flow wird das Access Token direkt in der URL zurückgegeben — sichtbar in Browser-History, Logs und Referrer-Headern. Der Authorization Code Flow mit PKCE ist die sichere Alternative.

Antwort

Durch das Least-Privilege-Prinzip für OAuth-Scopes — nur die minimal nötigen Berechtigungen anfordern, Nutzer über angeforderte Scopes informieren und regelmäßig erteilte App-Berechtigungen überprüfen.

Quick Facts
KategorieAuthentifizierung
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC