Authentifizierung und Autorisierung

In diesem praxisnahen Entwicklerleitfaden zeigt Ihnen Martina Kraus, wie Sie sicheres Identity- und Access-Management mit OAuth und OpenID Connect gestalten, Schwachstellen vermeiden und moderne Sicherheitsstandards in Ihre Webanwendungen integrieren. Von Passwörtern, Cookies und Zertifikaten über FIDO-Authentifizierung bis zu modernen Konzepten wie RBAC (Role-Based Access Control), Policies, Zero Trust und Fine-Grained Authorization - mit diesem Buch meistern Sie die Herausforderungen der digitalen Identität.

• Identity Management mit OpenID Connect und Access Management mit OAuth
• Sicherheitsprobleme im Blick: Schwachstellen erkennen und beheben
• Vollständiges Anwendungsbeispiel: Identity Provider in WebApp integrieren

Aus dem Inhalt:

• Grundlagen: Authentifizierung & Autorisierung
• JSON Web Token als Austauschformat
• OAuth: Das Protokoll für sichere API-Autorisierung
• OAuth 2. 0 vs OAuth 2. 1: Neuerungen und Empfehlungen
• OpenID Connect: Single Sign-on und Social Login
• Backend to Frontend: das sichere Architekturmodell
• Identity Provider in eine WebApp implementieren
• Broken Access Control: Schwachstellen und Angriffe

Geleitwort des Fachgutachters . . . 17

Danksagung . . . 19

1. Einführung in die moderne Sicherheit von Webanwendungen . . . 21

1. 1 . . . Welche Bedeutung hat die Absicherung von Webanwendungen? . . . 21

1. 2 . . . Die Entwicklung von Sicherheitspraktiken für Webanwendungen . . . 22

1. 3 . . . OAuth2 und OpenID Connect -- die heutigen Sicherheitsherausforderungen bewältigen . . . 23

1. 4 . . . Die Rolle von OAuth2 und OpenID Connect bei der Abwehr neuer Sicherheitsbedrohungen . . . 24

2. Das Grundprinzip der Authentifizierung . . . 27

2. 1 . . . Passwortbasierte Authentifizierung . . . 28

2. 2 . . . Cookiebasierte Authentifizierung . . . 29

2. 3 . . . Tokenbasierte Authentifizierung . . . 30

2. 4 . . . Zertifikatsbasierte Authentifizierung . . . 33

2. 5 . . . Biometrische Authentifizierung . . . 35

2. 6 . . . Multi-Faktor-Authentifizierung . . . 37

2. 7 . . . Vergleich der Authentifizierungsmethoden . . . 38

2. 8 . . . Single Sign-on: Zentralisierte Authentifizierung für mehr Komfort und Sicherheit . . . 40

2. 9 . . . FIDO: Sicherheitsstandards für starke Authentifizierung . . . 44

3. Autorisierung: Wer darf was? . . . 65

3. 1 . . . Die Grundlagen der Autorisierung . . . 66

3. 2 . . . Klassische Autorisierungsmodelle . . . 68

3. 3 . . . Autorisierung in modernen Webanwendungen . . . 78

3. 4 . . . Moderne Ansätze und Standards . . . 83

3. 5 . . . Praktische Umsetzung . . . 87

3. 6 . . . Herausforderungen und Zukunftsausblick . . . 91

3. 7 . . . Fazit . . . 94

4. Das JSON Web Token . . . 97

4. 1 . . . Einführung und Verwendung eines JSON Web Tokens . . . 97

4. 2 . . . Anatomie eines JWT . . . 99

4. 3 . . . JWT-Claims im Detail . . . 103

4. 4 . . . JSON Web Signature (JWS) . . . 107

4. 5 . . . JSON Web Encryption (JWE) . . . 117

4. 6 . . . Sign-then-Encrypt: Die Kombination von JWS und JWE . . . 126

4. 7 . . . Bedrohungen und Schwachstellen bei der Verwendung von JWTs . . . 127

4. 8 . . . Bewährte Praktiken im Umgang mit JSON Web Tokens . . . 129

4. 9 . . . Post-Quantum-JWTs-Standards . . . 133

5. Die Entwicklung von OAuth2 und OpenID Connect: Eine historische Betrachtung . . . 137

5. 1 . . . Von zentralisierten zu föderierten Identitäten . . . 137

5. 2 . . . Die Ära vor OAuth: SAML und seine Grenzen . . . 138

5. 3 . . . Die Geburt von OAuth 1. 0 . . . 143

5. 4 . . . OAuth 2. 0: Die Revolution -- von Signaturen zu Bearer-Tokens . . . 148

5. 5 . . . Die Authentifizierungslücke -- warum OAuth 2. 0 allein nicht reichte . . . 152

6. OAuth 2. 0: Sichere Autorisierung für moderne Webanwendungen . . . 155

6. 1 . . . Die Rollen im OAuth-2. 0-Ökosystem . . . 156

6. 2 . . . Kernkonzepte von OAuth 2. 0 . . . 160

6. 3 . . . Grant-Typen: Wege zur Autorisierung . . . 167

6. 4 . . . Access-Tokens: Das Herzstück der OAuth-Autorisierung . . . 205

6. 5 . . . Refresh-Tokens: Langlebige Sitzungen ohne Passwörter . . . 214

6. 6 . . . Management der Tokens . . . 221

6. 7 . . . Referenzen und weiterführende Standards . . . 226

7. OpenID Connect: Authentifizierung auf Basis von OAuth 2. 0 . . . 229

7. 1 . . . Einführung in OpenID Connect . . . 230

7. 2 . . . Discovery und Metadaten: Wie Clients OpenID-Provider finden . . . 237

7. 3 . . . Das ID-Token: Identitätsnachweis in OpenID Connect . . . 247

7. 4 . . . OpenID-Connect-Flows . . . 254

7. 5 . . . Nutzerdaten abrufen: Der UserInfo-Endpoint . . . 267

7. 6 . . . Social Login und Identity-Federation . . . 273

7. 7 . . . Sessions und Authentifizierungsstatus verwalten . . . 294

7. 8 . . . Session-Beendigung und koordinierter Logout . . . 309

7. 9 . . . Fazit . . . 323

8. OAuth in Microservice-Architekturen . . . 325

8. 1 . . . Das Problem: Delegation-Chains in Microservices . . . 326

8. 2 . . . Die Lösung: Token-Exchange . . . 329

8. 3 . . . Token-Exchange -- der Standard . . . 333

8. 4 . . . Der On-Behalf-Of-Flow: Impersonation . . . 341

8. 5 . . . Delegation-Flow: Explizite Service-Identifikation . . . 347

8. 6 . . . Token-Translation: Format und Audience . . . 358

8. 7 . . . Praktische Integration und Architektur-Patterns . . . 365

8. 8 . . . Ausblick: Die Zukunft der Service-zu-Service-Authentifizierung . . . 371

9. Sicherheit und Bedrohungsmodelle in OAuth 2. 0 . . . 375

9. 1 . . . Das Angreifermodell . . . 376

9. 2 . . . Bedrohungen im Authorization-Code-Flow . . . 380

9. 3 . . . Bedrohungen beim Token-Handling . . . 396

9. 4 . . . Schutzmaßnahmen für Refresh-Tokens . . . 400

9. 5 . . . Clientseitige Bedrohungen . . . 402

9. 6 . . . Security Checklist für OAuth-2. 0-Implementierungen . . . 416

9. 7 . . . Ausblick . . . 419

10. OAuth 2. 0 für browserbasierte Anwendungen . . . 421

10. 1 . . . Browserbasierte Anwendungen und OAuth: Die Sicherheitsherausforderung . . . 423

10. 2 . . . Das Backend-for-Frontend-Pattern: Die Lösung für sichere Browseranwendungen . . . 432

11. OAuth 2. 1 und moderne Sicherheitserweiterungen . . . 447

11. 1 . . . OAuth 2. 1: Die Konsolidierung der Best Practices . . . 448

11. 2 . . . Sender-Constrained Tokens: DPoP und mTLS . . . 453

11. 3 . . . Absicherung des Authorization-Requests: PAR und JAR . . . 477

11. 4 . . . Zusammenfassung und Kernbotschaften . . . 491

12. Praktische Implementierung von OAuth 2. 0 und OIDC . . . 493

12. 1 . . . Authorization-Server im Vergleich . . . 495

12. 2 . . . Voraussetzungen und Setup . . . 505

12. 3 . . . Szenario 1: Authorization-Code-Flow mit PKCE für Browseranwendungen . . . 506

12. 4 . . . Szenario 2: Client-Credentials-Flow für die Service-to-Service-Kommunikation . . . 522

12. 5 . . . Szenario 3: Token-Exchange in Microservice-Architekturen . . . 543

12. 6 . . . Szenario 4: Das Backend-for-Frontend-(BFF-)Pattern . . . 564

12. 7 . . . Production-Readiness: Von der Implementierung zum produktiven Betrieb . . . 575

13. Zusammenfassung und Ausblick . . . 583

13. 1 . . . Von der Theorie zur Praxis: Was Sie gelernt haben . . . 584

13. 2 . . . Entscheidungshilfen: Die richtigen Technologien wählen . . . 585

13. 3 . . . Financial-grade API (FAPI): Höchste Sicherheit für kritische Anwendungen . . . 588

13. 4 . . . Zukünftige Entwicklungen: Was kommt nach OAuth 2. 1? . . . 593

13. 5 . . . Weiterführende Ressourcen und Communities . . . 606

13. 6 . . . Abschließende Worte . . . 614

Index . . . 617