Gottvertrauen

Benutzer von Web-Anwendungen mit Hilfe von OAuth 2.0 authentifizieren

Wissen | Know-how

Über Google anmelden – ein derart beschrifteter Knopf ist Ihnen sicherlich schon mal aufgefallen. Damit können Website-Betreiber die Authentifizierung ihrer Nutzer an Google delegieren. Die aufwendige und fehleranfällige Implementierung einer eigenen Benutzerverwaltung entfällt damit.

Wer Web-Applikationen nur einem eingeschränkten Anwenderkreis zugänglich machen will, braucht ein Login. Im einfachsten Fall gelingt das mit der HTTP-Authentifizierung (.htaccess-Mechanismus). Für mehr Komfort bei der Vergabe der Zugangsdaten muss allerdings eine Benutzerverwaltung her, die wenigstens Benutzername und Passwort abfragt, in einer Datenbank speichert, bei jedem Login-Versuch die eingegebenen Daten mit den gespeicherten vergleicht und nur bei Übereinstimmung den Zugang gewährt. Das bedeutet viel Entwicklungsaufwand. Aber schlimmer noch: Man zwingt potenzielle Benutzer zur Registrierung – und dazu, sich noch einen Benutzernamen und noch ein Passwort zu merken.

Bequemer für Benutzer und Betreiber ist es, die Authentifizierung an einen weit verbreiteten Dienst zu delegieren, etwa Dropbox, Facebook, Github, Google, Twitter oder Windows Live. Zum Login gibt der Benutzer die gewohnten Daten ein. Ohne dass der Betreiber der Web-Applikation dabei Kennung und Passwort zu Gesicht bekäme, überprüft der Authentifizierungsdienstanbieter die Daten auf Gültigkeit und meldet das Ergebnis nebst einer besonderen eindeutigen Zeichenfolge (Token) an die Web-Applikation zurück. Anstelle von Kennung und Passwort authentifiziert sich die Web-Applikation stellvertretend für den Nutzer fortan mit dem Token. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Was Sie ins Formular „Consent screen“ der Google-Projekteinstellungen eintragen, bekommt der Anwender beim Anmelden via OAuth zu sehen.

Anzeige
Anzeige