OAuth 2.0

OAuth 2.0 ist ein weit verbreitetes Autorisierungsframework, das Anwendungen einen sicheren Zugriff auf geschützte Ressourcen ermöglicht, ohne dass Benutzer ihre Zugangsdaten preisgeben müssen. Stattdessen werden Access Tokens verwendet, die zeitlich begrenzt und mit spezifischen Berechtigungen (Scopes) versehen sind.

Das Framework definiert dafür vier Rollen: den Resource Owner (Nutzer), den Client (die zugreifende Anwendung), den Authorization Server (stellt Tokens aus) und den Resource Server (schützt die Daten). Für unterschiedliche Szenarien existieren verschiedene Abläufe; empfohlen ist heute vor allem der Authorization Code Flow mit PKCE für Web- und Mobile-Anwendungen sowie der Client Credentials Flow für die Kommunikation zwischen Diensten. Wichtig zur Einordnung: OAuth 2.0 regelt Autorisierung, nicht Authentifizierung – die Identitätsprüfung ergänzt der darauf aufbauende Standard OpenID Connect.

In API- und Microservices-Architekturen ist OAuth 2.0 der De-facto-Standard für Zugriffskontrolle: Sensible Zugangsdaten werden nicht zwischen Systemen ausgetauscht, Berechtigungen lassen sich granular auf den jeweiligen Anwendungsfall zuschneiden und Tokens bei Missbrauch gezielt entwerten.