OAuth2/OIDC verständlich: Flows, Tokens, typische Fehler.
OAuth2 und OIDC: Die wichtigsten Flows – verständlich erklärt
Auth selbst zu bauen ist verlockend. Und fast immer eine schlechte Idee.
Warum eigene Auth riskant ist
Nicht weil die Entwickler inkompetent sind. Sondern weil Auth viele Edge Cases hat, die erst unter realen Angriffsbedingungen sichtbar werden. Brute Force Protection, Token-Rotation, Logout-Mechanismen, Session-Invalidierung – das alles ist nicht trivial.
Für die meisten Projekte: Auth-Provider nutzen. Keycloak, Auth0, Supabase Auth, Authentik. Die haben das Problem seit Jahren gelöst.
OAuth2 vs. OIDC
OAuth2 ist ein Autorisierungs-Protokoll: "Darf diese App X im Namen dieses Users tun?" Es gibt keine Standard-User-Information zurück.
OpenID Connect (OIDC) ist OAuth2 + Identitätsschicht: "Wer ist dieser User?" Es gibt standardisierte User-Informationen (ID Token als JWT) zurück.
Für Login-Szenarien braucht man OIDC, nicht nur OAuth2.
Die wichtigsten Flows
Authorization Code Flow (mit PKCE): Standard für Web-Apps und SPAs. User wird zu Auth-Provider weitergeleitet, kommt mit Authorization Code zurück, der gegen Token getauscht wird. PKCE ist für öffentliche Clients (SPAs, Mobile Apps) Pflicht.
Client Credentials Flow: Für Machine-zu-Machine-Kommunikation ohne User-Kontext. Backend-Service A authentifiziert sich bei Backend-Service B.
Device Code Flow: Für Geräte ohne Browser (IoT, Smart TVs).
Token-Management
Access Token kurze Lebensdauer (15 min – 1h). Refresh Token für die Erneuerung. Refresh Token Rotation (bei jeder Nutzung neuer Refresh Token) als Security-Best-Practice.
Checkliste OAuth2/OIDC
OIDC statt reinem OAuth2 für Login-Szenarien
Authorization Code Flow mit PKCE für Web/SPA/Mobile
Token-Lebensdauer sinnvoll konfiguriert
Refresh Token Rotation aktiviert
Logout-Mechanismus (Front-Channel Logout) implementiert
Auth-Provider gewählt und nicht selbst gebaut
Auth-Integration für euer Projekt?
markom.digital integriert OAuth2/OIDC-Provider in Web- und App-Projekte – sicher, sauber, getestet.
