<EbeneX/>
Sicherheit Praxis · Updated 18. Februar 2026

OAuth

Definition

Ein offenes Autorisierungsprotokoll, das Anwendungen begrenzten Zugriff auf Nutzerkonten ermöglicht – ohne dass der Nutzer sein Passwort teilen muss.

Fortgeschritten 2 Min. Lesezeit EN: OAuth 2.0
ERKLÄRUNG

Einfach erklärt

OAuth 2.0 ist der Industriestandard für sichere Autorisierung – das Protokoll, das “Mit Google anmelden” und “Mit GitHub anmelden” ermöglicht. Es löst ein fundamentales Problem: Wie kann eine App auf Ressourcen eines Nutzers zugreifen, ohne dessen Passwort zu kennen? OAuth trennt Authentifizierung (Wer bist du?) von Autorisierung (Was darfst du?) und ist für jede KI-Anwendung relevant, die auf Nutzerdaten oder externe APIs zugreift.

OAuth löst ein einfaches Problem: Wie gibst du einer App Zugriff auf deine Daten, ohne dein Passwort zu verraten?

Ablauf (vereinfacht):

1. App: "Darf ich auf deine GitHub-Repos zugreifen?"
2. Du: Wirst zu GitHub weitergeleitet
3. GitHub: "App X möchte Zugriff auf deine Repos. Erlauben?"
4. Du: "Ja, erlauben"
5. GitHub → App: Hier ist ein Access Token (gültig 1 Stunde)
6. App: Nutzt Token für API-Zugriff (nur Repos, nichts anderes)

Technischer Deep Dive

OAuth 2.0 Flows

  • Authorization Code Flow: Standard für Web-Apps (mit Backend)
  • PKCE Flow: Für SPAs und Mobile Apps (ohne Backend-Secret)
  • Client Credentials: Service-to-Service (kein Nutzer involviert)
  • Device Flow: Für Geräte ohne Browser (Smart TV, CLI-Tools)

Tokens

  • Access Token: Kurzlebig (Minuten bis Stunden), für API-Zugriff
  • Refresh Token: Langlebig, zum Erneuern des Access Tokens
  • ID Token (OIDC): JWT mit Nutzerinformationen (Name, E-Mail)

Scopes (Berechtigungen)

scope=read:repos write:gists user:email

Scopes begrenzen was die App tun darf – Principle of Least Privilege.

Sicherheits-Best-Practices

  • Access Tokens nie im LocalStorage speichern (XSS-Risiko)
  • PKCE für alle öffentlichen Clients verwenden
  • Refresh Token Rotation aktivieren
  • State-Parameter gegen CSRF-Angriffe
ANALOGIE

OAuth ist wie ein Hotelschlüssel: Du bekommst eine Karte, die nur bestimmte Türen öffnet und nach einer gewissen Zeit abläuft – ohne dass du den Generalschlüssel des Hotels brauchst.

WICHTIGSTE PUNKTE

Delegierte Autorisierung: Apps erhalten begrenzten Zugriff ohne Passwort-Weitergabe

Token-basiert: Access Tokens mit begrenzter Gültigkeit und definierten Berechtigungen (Scopes)

Standard für 'Login mit Google/GitHub' und API-Zugriff auf Drittanbieter-Dienste

ANWENDUNGSFÄLLE

Social Login

'Mit Google anmelden' – Nutzer authentifizieren ohne eigenes Passwort-System

API-Zugriff

Drittanbieter-Apps begrenzten Zugriff auf Nutzerdaten geben (z.B. GitHub Repos)

KI-API-Authentifizierung

Sichere Authentifizierung für OpenAI, Anthropic und andere LLM-APIs

Microservice-Kommunikation

Service-to-Service Authentifizierung mit Client Credentials Flow

HÄUFIGE FRAGEN
Was ist der Unterschied zwischen OAuth und OpenID Connect?

OAuth regelt Autorisierung (was darf eine App tun?), OpenID Connect (OIDC) baut darauf auf und regelt Authentifizierung (wer ist der Nutzer?). OIDC fügt einen ID-Token mit Nutzerinfos hinzu.

Sind OAuth-Tokens sicher?

Ja, wenn korrekt implementiert: kurze Gültigkeit, HTTPS-only, sichere Speicherung. Refresh Tokens sollten rotiert werden und Access Tokens nie im LocalStorage landen.

Wie funktioniert der OAuth-Flow für mobile Anwendungen?

Der OAuth-Flow für mobile Anwendungen umfasst in der Regel eine Umleitung des Nutzers zu einem Autorisierungsserver, wo er seine Zugangsdaten eingibt. Nach der Genehmigung erhält die App ein Token, das für zukünftige API-Anfragen verwendet werden kann, ohne dass das Passwort des Nutzers gespeichert werden muss.

Was sind die Sicherheitsrisiken bei der Verwendung von OAuth?

Einige Sicherheitsrisiken bei der Verwendung von OAuth umfassen Token-Diebstahl, unsichere Umleitungen und das Risiko von Phishing-Angriffen. Es ist wichtig, sichere Praktiken wie die Verwendung von HTTPS und die Validierung von Redirect-URIs zu befolgen, um diese Risiken zu minimieren.

TOOLS & RESSOURCEN
Auth0

Identity-as-a-Service Plattform mit OAuth 2.0 und OpenID Connect
Keycloak

Open-Source Identity und Access Management
NextAuth.js

Authentifizierung für Next.js mit OAuth-Providern
VERWANDTE BEGRIFFE
Web DevOps

API (Application Programming Interface)

Eine definierte Schnittstelle, über die Softwaresysteme miteinander kommunizieren können – der Standard für die Integration von KI-Diensten in Anwendungen.
Sicherheit Grundlagen

Verschlüsselung

Die Umwandlung von lesbaren Daten in einen unlesbaren Code, der nur mit dem richtigen Schlüssel wieder entschlüsselt werden kann – Grundlage jeder digitalen Sicherheit.
Sicherheit Architektur

Zero Trust

Ein Sicherheitsmodell, das keinem Nutzer, Gerät oder Netzwerk automatisch vertraut – jeder Zugriff wird einzeln verifiziert, unabhängig vom Standort.
Sicherheit Grundlagen

Datenschutz (DSGVO-Kontext)

Der Schutz personenbezogener Daten bei der Entwicklung und dem Einsatz von KI-Systemen – mit besonderem Fokus auf die europäische Datenschutz-Grundverordnung.
Web DevOps

REST (Representational State Transfer)

Ein Architekturstil für Web-APIs, der auf HTTP-Methoden und Ressourcen basiert – der De-facto-Standard für die meisten Web-Schnittstellen und KI-APIs.

Dein persönliches Share-Bild für Instagram – 1080×1080px, bereit zum Posten.
Zurück zum Glossar