OAuth 2.0: die Clientseite

OAuth, die Zweite

Sven Haiges


Zugegeben: Der Blog Post, mit dem sich Eran Hammer von der OAuth-2.0-Spezifikation verabschiedet hat [1], war für viele schockierend zu lesen. Als Hauptgrund für seinen Rückzug gibt er „Indecision Making“ an, also das Fehlen von Entscheidungen. Die OAuth-2.0-Spezifikation sei wegen der Mitwirkung zu vieler Parteien zu offen, zu viele Bereiche seien absichtlich ungenau gehalten und diverse Implementierungsmöglichkeiten offen zu halten. Viele dieser Gründe sind im Kern sicherlich richtig. Dennoch bewegt sich die Welt der APIs mit großen Schritten in Richtung OAuth 2.0. OAuth 2.0 ist ein sicheres und gut durchdachtes Protokoll, auch wenn manche sich vielleicht Details besser spezifiziert gewünscht hätten. Und auch wenn die APIs von Goo­gle und Facebook derzeit und vielleicht auch für immer nicht hundertprozentig standardkonform sein werden: OAuth 2.0 – in leicht unterschiedlichen Ausprägungen – ist bereits überall im Einsatz. In diesem Artikel möchte ich nicht allzu lange philosophieren. Fakt ist, dass Kenntnisse über OAuth 2.0 relevanter sind denn je. Egal ob Mobile, klassischer Webclient oder moderne In-Browser-JavaScript/HTML5-App – um den Clientcode zu autorisieren und damit mit Zustimmung des Anwenders auf seine Ressourcen zuzugreifen, benutzt man OAuth 2.0. Und auch wenn die verschiedenen OAuth-2.0-kompatiblen APIs noch leichte Unterschiede aufweisen, so muss man OAuth 2.0 nur einmal aus der Vogelperspektive verstanden haben.

ArtikelserieTeil 1: Authorization Code GrantTeil 2: Weitere OAuth 2.0 GrantsTeil 3: Implementierung eines OAuth-2.0-Servers anhand des OAuth-2.0-Moduls von Spring Security

Der erste Teil dieser dreiteiligen OAuth-2.0-Serie geht auf die Sicht der OAuth-2.0-Clients ein und stellt Ihnen besonders den allgegenwärtigen OAuth 2.0 Authorization Code Grant vor. Im Laufe dieser Serie werden zahlreiche Codebeispiele die praktische Anwendung aus der Sicht des Clients und Servers beleuchten. Die Codebeispiele für die Benutzung aus Sicht des Clients sind dabei einer Gaelyk-Webapplikation entnommen, und meistens handelt es sich um Code aus Gaelyk-Controllern. Weitere Informationen zu Gaelyk, einem schlanken Webframework für Google App Engine, finden Sie unter [2]. Neben den OAuth-2.0-„Flows“ erhalten Sie auch Informationen dazu, welcher Flow für welches Anwendungsszenario am besten geeignet ist.

Rollen

Um OAuth 2.0 besser verstehen zu können, sollte man die Rollen dieses Autorisierungsprotokolls verstanden haben. Es gibt den Resource Owner, den ...

OAuth 2.0: die Clientseite

OAuth, die Zweite

Sven Haiges


Zugegeben: Der Blog Post, mit dem sich Eran Hammer von der OAuth-2.0-Spezifikation verabschiedet hat [1], war für viele schockierend zu lesen. Als Hauptgrund für seinen Rückzug gibt er „Indecision Making“ an, also das Fehlen von Entscheidungen. Die OAuth-2.0-Spezifikation sei wegen der Mitwirkung zu vieler Parteien zu offen, zu viele Bereiche seien absichtlich ungenau gehalten und diverse Implementierungsmöglichkeiten offen zu halten. Viele dieser Gründe sind im Kern sicherlich richtig. Dennoch bewegt sich die Welt der APIs mit großen Schritten in Richtung OAuth 2.0. OAuth 2.0 ist ein sicheres und gut durchdachtes Protokoll, auch wenn manche sich vielleicht Details besser spezifiziert gewünscht hätten. Und auch wenn die APIs von Goo­gle und Facebook derzeit und vielleicht auch für immer nicht hundertprozentig standardkonform sein werden: OAuth 2.0 – in leicht unterschiedlichen Ausprägungen – ist bereits überall im Einsatz. In diesem Artikel möchte ich nicht allzu lange philosophieren. Fakt ist, dass Kenntnisse über OAuth 2.0 relevanter sind denn je. Egal ob Mobile, klassischer Webclient oder moderne In-Browser-JavaScript/HTML5-App – um den Clientcode zu autorisieren und damit mit Zustimmung des Anwenders auf seine Ressourcen zuzugreifen, benutzt man OAuth 2.0. Und auch wenn die verschiedenen OAuth-2.0-kompatiblen APIs noch leichte Unterschiede aufweisen, so muss man OAuth 2.0 nur einmal aus der Vogelperspektive verstanden haben.

ArtikelserieTeil 1: Authorization Code GrantTeil 2: Weitere OAuth 2.0 GrantsTeil 3: Implementierung eines OAuth-2.0-Servers anhand des OAuth-2.0-Moduls von Spring Security

Der erste Teil dieser dreiteiligen OAuth-2.0-Serie geht auf die Sicht der OAuth-2.0-Clients ein und stellt Ihnen besonders den allgegenwärtigen OAuth 2.0 Authorization Code Grant vor. Im Laufe dieser Serie werden zahlreiche Codebeispiele die praktische Anwendung aus der Sicht des Clients und Servers beleuchten. Die Codebeispiele für die Benutzung aus Sicht des Clients sind dabei einer Gaelyk-Webapplikation entnommen, und meistens handelt es sich um Code aus Gaelyk-Controllern. Weitere Informationen zu Gaelyk, einem schlanken Webframework für Google App Engine, finden Sie unter [2]. Neben den OAuth-2.0-„Flows“ erhalten Sie auch Informationen dazu, welcher Flow für welches Anwendungsszenario am besten geeignet ist.

Rollen

Um OAuth 2.0 besser verstehen zu können, sollte man die Rollen dieses Autorisierungsprotokolls verstanden haben. Es gibt den Resource Owner, den ...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang