Home

tokenbasierten

Tokenbasierte Authentifizierung bezeichnet ein Verfahren, bei dem Zugriffsrechte für Systeme über kurzlebige Tokens statt über regelmäßige Eingabe von Benutzernamen und Passwörtern vergeben werden. Typischer Einsatz findet sich in Web-APIs, mobilen Anwendungen und Single-Sign-On-Szenarien. Tokens werden in der Regel von einem Autorisierungsserver ausgegeben, nachdem der Benutzer oder die Anwendung sich erfolgreich authentifiziert hat. Gültige Tokens werden dem Client übermittelt und bei Zugriffen auf geschützte Ressourcen als Nachweis der Berechtigung vorgelegt.

Bei dem Prozess reichen Clients eine Authentifizierungsanfrage an den Autorisierungsserver ein (z. B. über OAuth 2.0).

Tokens können als JWT (selbstprüfbare Signatur) oder als opaque Tokens vorliegen. JWT enthält Claims wie Subjekt,

Tokenbasierte Ansätze ermöglichen Skalierbarkeit in verteilten Architekturen, erleichtern Single Sign-On und dienen der Zugriffskontrolle über APIs

Nach
erfolgreicher
Prüfung
erhält
der
Client
einen
Access
Token,
oft
begleitet
von
einem
Refresh
Token.
Der
Access
Token
wird
in
API-Anfragen
als
Bearer-Token
im
Authorization-Header
übermittelt.
Ressourcenserver
validieren
das
Token,
prüfen
Signatur,
Ablaufzeit
und
Berechtigungen
(Scopes).
Falls
der
Token
abläuft,
kann
der
Refresh
Token
genutzt
werden,
um
einen
neuen
Access
Token
zu
erhalten,
ohne
erneute
Benutzereingabe.
Issuer,
Ablauf
und
Scopes;
opaque
Tokens
erfordern
eine
Server-seitige
Token-Introspection.
Wichtige
Sicherheitsaspekte
umfassen
Transportverschlüsselung
(TLS),
sichere
Speicherung
des
Tokens,
kurze
Lebensdauer,
Token-Rotation
und
die
Möglichkeit
der
Widerruf.
Public
Clients
(z.
B.
mobile
Apps)
nutzen
oft
PKCE,
um
Exploits
zu
verringern.
und
Microservices.
Sie
erfordern
ein
gutes
Token-
und
Zertifizierungsmanagement,
klare
Rollendefinitionen
und
regelmäßige
Überprüfung
von
Sicherheitsrichtlinien.