OAuth ist ein offener Autorisierungsstandard, der verwendet wird, um den sicheren Zugriff von Clientanwendungen auf Serverressourcen bereitzustellen. Das OAuth-Autorisierungsframework ermöglicht es einer Drittanbieteranwendung, eingeschränkten Zugriff auf einen HTTP-Dienst zu erhalten, entweder im Namen eines Ressourcenbesitzers oder indem der Drittanbieteranwendung der Zugriff in eigenem Namen gewährt wird.
Mit OAuth können Serverbesitzer den Zugriff auf die Serverressourcen autorisieren, ohne Anmeldeinformationen freizugeben. Dies bedeutet, dass der Benutzer Zugriff auf private Ressourcen von einem Server auf eine andere Serverressource gewähren kann, ohne seine Identität zu teilen.
OAuth löst herkömmliche Client-Server-Authentifizierungsprobleme
OAuth wurde für Probleme und Einschränkungen entwickelt, die im herkömmlichen Client-Server-Authentifizierungsmodell auftreten, bei dem Anwendungen von Drittanbietern erforderlich sind, um die Anmeldeinformationen des Ressourcenbesitzers für die zukünftige Verwendung zu speichern, und bei denen Ressourcenbesitzer den Zugriff auf einen einzelnen Drittanbieter nicht widerrufen können, ohne den Zugriff auf alle Drittanbieter zu widerrufen .
OAuth behebt diese Probleme, indem eine Berechtigungsschicht eingeführt und die Rolle des Clients von der des Ressourcenbesitzers getrennt wird. Anstatt die Anmeldeinformationen des Ressourcenbesitzers für den Zugriff auf geschützte Ressourcen zu verwenden, erhält der Client ein Zugriffstoken, das von einem Autorisierungsserver mit Genehmigung des Ressourcenbesitzers an Clients von Drittanbietern ausgegeben wird.
Das OAuth-Protokoll
Das als Informationsdokument veröffentlichte OAuth 1.0-Protokoll (RFC5849) war das Ergebnis einer kleinen Ad-hoc-Community-Anstrengung. Das OAuth 2.0-Protokoll ist nicht abwärtskompatibel mit OAuth 1.0.
OAuth Sicherheitslücken
Im Mai 2014 wurde eine Sicherheitslücke in den weit verbreiteten OAuth- und OpenID-Website-Authentifizierungsmechanismen entdeckt. Der Fehler lag nicht in OAuth 2, sondern war das Ergebnis der Implementierung der Standards durch einige Unternehmen, vor allem in Situationen, in denen offene Weiterleitungen verwendet wurden. Nach den Nachrichten über die Sicherheitslücke gab Google bekannt, dass die Sicherheit der Nutzer bei der Anmeldung bei ihren Konten durch zusätzliche Berechtigungsprüfungen strenger sein wird.