© best_vector/Shutterstock.com
Authentifizierung und Autorisierung, OAuth und OpenID Connect im Überblick

Von Semantik und Tokens


Schon seit einiger Zeit gibt es zwei Möglichkeiten zur Authentifizierung und Autorisierung von Benutzern: Entweder die Anwendung macht es selbst, oder sie überlässt es einem unabhängigen Dritten. Und dann kommen OAuth und OpenID Connect ins Spiel.

Erst einmal: Es gibt im Deutschen die Begriffe Authentifizierung, Authentisierung und Authentifikation. Spricht man Englisch, hat man es deutlich einfacher, da gibt es nur die Authentication. Und manchmal die „Authentification“, wenn die Rechtschreibkorrektur ignoriert oder ausgeschaltet wird. Aber warum einfach, wenn es auch komplizierter geht? Also bemühen wir Wikipedia [1] und halten einmal ganz formal und nur für den Fall, dass ein Benutzer gegenüber einer Anwendung seine Identität beweisen will/soll/muss, fest:

  • Die Authentifizierung ist der Nachweis der Identität des Benutzers gegenüber der Anwendung.

  • Die Anwendung authentifiziert den Benutzer, während der Benutzer sich gegenüber der Anwendung authentisiert.

Laut Duden ist Authentifikation [2] die „Identitätsprüfung eines Benutzers als Zugangs- und Rechtekontrolle für ein System (z. B. durch Passwort)“ und Authentifizierung [3] in der EDV die Authentifikation. Und dann gibt es im Duden noch einen Eintrag für Authentisierung [4] mit folgender Bedeutung: „das Authentisieren; das Authentisiertwerden“, wobei die Bedeutung von authentisieren [5] „glaubwürdig, rechtsgültig machen“ ist.

Alles irgendwie das Gleiche

Es läuft also alles aufs Gleiche hinaus; die verschiedenen Begriffe verwirren eigentlich mehr als sie helfen. Ich persönlich bevorzuge das gebräuchlichere Wort „Authentifizierung“ mit ca. 3 970 000 Ergebnissen bei Google und werde es auch im Folgenden verwenden. Falls Sie mit dem IT-Grundschutz des BSI arbeiten – ob mit dem neuen Kompendium oder dem alten Katalog, ist dabei egal – werden Sie dort den Begriff „Authentisierung“ (Google: 161 000 Ergebnisse) finden. Und fürs Protokoll: Die Authentifikation bringt es sogar nur auf ca. 107 000 Google-Ergebnisse.

Dann mal los!

Nach der Authentifizierung weiß die Anwendung, wer der Benutzer ist, bzw. dass er der ist, der er zu sein behauptet. Für die Authentifizierung gibt es viele verschiedene Möglichkeiten; die Anwendung kann z. B. prüfen, ob der Benutzer ein bestimmtes Wissen besitzt, das nur der tatsächliche Benutzer kennt (bzw. kennen sollte). Da klassische Beispiel dafür ist die Abfrage von Benutzername und Passwort: Der Benutzer behauptet, dass das sein Benutzername ist und beweist es, indem er das pas...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang