OAuth2 & JWT

OAuth2 ist ein Autorisierungsframework. Es erlaubt Anwendungen, im Namen eines Benutzers auf geschützte Ressourcen zuzugreifen. Passwörter werden dabei nicht weitergegeben.

Authentifizierung prüft, wer ein Benutzer ist. Autorisierung entscheidet, was er darf. OAuth2 kümmert sich um Autorisierung.

JWT steht für JSON Web Token. Es ist ein kompaktes Token-Format zur sicheren Übertragung von Claims. JWTs werden häufig für stateless Authentifizierung genutzt.

Ein JWT besteht aus Header Payload und Signature. Die Teile sind Base64-codiert. Die Signatur schützt vor Manipulation.

OAuth2 ist ein Protokoll für Autorisierung. JWT ist ein Token-Format. OAuth2 kann JWT als Access Token nutzen.

Ein Access Token berechtigt den Zugriff auf eine Ressource. Es wird vom Authorization Server ausgestellt. Es ist meist kurzlebig.

Ein Refresh Token dient zum Erneuern von Access Tokens. Er ist langlebiger. Er darf nur vom Authorization Server genutzt werden.

Der Authorization Server authentifiziert Benutzer. Er stellt Tokens aus. Beispiele sind Keycloak oder Auth0.

Ein Client ist die Anwendung, die Zugriff anfordert. Das kann ein Web- oder Mobile-Client sein. Er besitzt eine Client-ID.

Dieser Flow wird für Webanwendungen genutzt. Der Client erhält einen Code und tauscht ihn gegen Tokens. Er gilt als sehr sicher.

Dieser Flow wird für Machine-to-Machine-Kommunikation genutzt. Es gibt keinen Benutzer. Der Client authentifiziert sich selbst.

Der Implicit Flow gibt Tokens direkt an den Browser aus. Das ist unsicher. Er wird heute nicht mehr empfohlen.

PKCE schützt den Authorization Code Flow. Es verhindert Code-Abfangangriffe. Es ist Pflicht für öffentliche Clients.

Der Server speichert keine Session. Alle Informationen stehen im Token. Das erleichtert horizontale Skalierung.

Die Signatur wird geprüft. Claims wie Ablaufzeit und Issuer werden validiert. Optional wird die Audience geprüft.

Claims sind Informationen im Token. Es gibt Standard- und Custom-Claims. Sie beschreiben Benutzer oder Berechtigungen.

Symmetrisch nutzt ein gemeinsames Geheimnis. Asymmetrisch nutzt Public und Private Key. Asymmetrisch ist besser skalierbar.

Tokens haben eine begrenzte Lebensdauer. Das reduziert Schadenspotenzial. Abgelaufene Tokens werden abgelehnt.

Token Revfferung macht Tokens ungültig. Bei JWT ist das schwierig. Oft werden kurze Laufzeiten genutzt.

Scopes definieren Zugriffsrechte. Sie beschreiben, was ein Token darf. APIs prüfen Scopes.

Audience definiert, für welchen Empfänger das Token gilt. Der Resource Server prüft diesen Wert. Das verhindert Token-Missbrauch.

OIDC erweitert OAuth2 um Authentifizierung. Es liefert Benutzerinformationen. Es wird für Login verwendet.

Ein ID Token enthält Identitätsinformationen. Es wird bei OIDC genutzt. Es ist nicht für API-Zugriffe gedacht.

Token-Diebstahl ist das größte Risiko. Tokens dürfen nicht im LocalStorage gespeichert werden. HTTPS ist Pflicht.

Man nutzt HTTP-only Cookies. XSS-Angriffe werden so erschwert. CSRF-Schutz ist zusätzlich nötig.

Refresh Tokens werden bei jeder Nutzung erneuert. Alte Tokens werden invalidiert. Das erhöht Sicherheit.

Spring Security bietet OAuth2-Unterstützung. Clients und Resource Server lassen sich konfigurieren. Tokens werden automatisch validiert.

Für sehr einfache interne Systeme. Wenn keine externe Autorisierung nötig ist. Der Setup-Aufwand ist höher.

Wenn sofortige Token-Sperrung nötig ist. Bei hochsensiblen Sessions. Stateful Sessions sind dann besser.