Authentifizierung und Autorisierung

Sicheres Identitätsmanagement gestalten und integrieren In diesem praxisnahen Entwicklerleitfaden zeigt Ihnen Martina Kraus, wie Sie sicheres Identity- und Access-Management mit OAuth und OpenID Connect gestalten, Schwachstellen vermeiden und moderne Sicherheitsstandards in Ihre Webanwendungen integrieren. Von Passwörtern, Cookies und Zertifikaten über FIDO-Authentifizierung bis zu modernen Konzepten wie RBAC (Role-Based Access Control), Policies, Zero Trust und Fine-Grained Authorization - mit diesem Buch meistern Sie die Herausforderungen der digitalen Identität. - Identity Management mit OpenID Connect und Access Management mit OAuth- Sicherheitsprobleme im Blick: Schwachstellen erkennen und beheben- Vollständiges Anwendungsbeispiel: Identity Provider in WebApp integrieren Aus dem Inhalt:- Grundlagen: Authentifizierung & Autorisierung- JSON Web Token als Austauschformat- OAuth: Das Protokoll für sichere API-Autorisierung- OAuth 2.0 vs OAuth 2.1: Neuerungen und Empfehlungen- OpenID Connect: Single Sign-on und Social Login- Backend to Frontend: das sichere Architekturmodell- Identity Provider in eine WebApp implementieren- Broken Access Control: Schwachstellen und Angriffe

Martina Kraus ist Application Security Engineer mit Leidenschaft für sichere Softwareentwicklung. Ihr Wissen über OAuth und OpenID Connect konnte sie als ehemalige Developer Advocate bei einem führenden Identity Provider weiter vertiefen. In ihrer Rolle als Google Developer Expert (GDE) für Angular und Identity sowie als aktives Mitglied der OWASP-Community teilt sie ihr Wissen über Websicherheit regelmäßig auf nationalen und internationalen Konferenzen.

Geleitwort des Fachgutachters ... 17 Danksagung ... 19 1. Einführung in die moderne Sicherheit von Webanwendungen ... 21 1.1 ... Welche Bedeutung hat die Absicherung von Webanwendungen? ... 21 1.2 ... Die Entwicklung von Sicherheitspraktiken für Webanwendungen ... 22 1.3 ... OAuth2 und OpenID Connect -- die heutigen Sicherheitsherausforderungen bewältigen ... 23 1.4 ... Die Rolle von OAuth2 und OpenID Connect bei der Abwehr neuer Sicherheitsbedrohungen ... 24 2. Das Grundprinzip der Authentifizierung ... 27 2.1 ... Passwortbasierte Authentifizierung ... 28 2.2 ... Cookiebasierte Authentifizierung ... 29 2.3 ... Tokenbasierte Authentifizierung ... 30 2.4 ... Zertifikatsbasierte Authentifizierung ... 33 2.5 ... Biometrische Authentifizierung ... 35 2.6 ... Multi-Faktor-Authentifizierung ... 37 2.7 ... Vergleich der Authentifizierungsmethoden ... 38 2.8 ... Single Sign-on: Zentralisierte Authentifizierung für mehr Komfort und Sicherheit ... 40 2.9 ... FIDO: Sicherheitsstandards für starke Authentifizierung ... 44 3. Autorisierung: Wer darf was? ... 65 3.1 ... Die Grundlagen der Autorisierung ... 66 3.2 ... Klassische Autorisierungsmodelle ... 68 3.3 ... Autorisierung in modernen Webanwendungen ... 78 3.4 ... Moderne Ansätze und Standards ... 83 3.5 ... Praktische Umsetzung ... 87 3.6 ... Herausforderungen und Zukunftsausblick ... 91 3.7 ... Fazit ... 94 4. Das JSON Web Token ... 97 4.1 ... Einführung und Verwendung eines JSON Web Tokens ... 97 4.2 ... Anatomie eines JWT ... 99 4.3 ... JWT-Claims im Detail ... 103 4.4 ... JSON Web Signature (JWS) ... 107 4.5 ... JSON Web Encryption (JWE) ... 117 4.6 ... Sign-then-Encrypt: Die Kombination von JWS und JWE ... 126 4.7 ... Bedrohungen und Schwachstellen bei der Verwendung von JWTs ... 127 4.8 ... Bewährte Praktiken im Umgang mit JSON Web Tokens ... 129 4.9 ... Post-Quantum-JWTs-Standards ... 133 5. Die Entwicklung von OAuth2 und OpenID Connect: Eine historische Betrachtung ... 137 5.1 ... Von zentralisierten zu föderierten Identitäten ... 137 5.2 ... Die Ära vor OAuth: SAML und seine Grenzen ... 138 5.3 ... Die Geburt von OAuth 1.0 ... 143 5.4 ... OAuth 2.0: Die Revolution -- von Signaturen zu Bearer-Tokens ... 148 5.5 ... Die Authentifizierungslücke -- warum OAuth 2.0 allein nicht reichte ... 152 6. OAuth 2.0: Sichere Autorisierung für moderne Webanwendungen ... 155 6.1 ... Die Rollen im OAuth-2.0-Ökosystem ... 156 6.2 ... Kernkonzepte von OAuth 2.0 ... 160 6.3 ... Grant-Typen: Wege zur Autorisierung ... 167 6.4 ... Access-Tokens: Das Herzstück der OAuth-Autorisierung ... 205 6.5 ... Refresh-Tokens: Langlebige Sitzungen ohne Passwörter ... 214 6.6 ... Management der Tokens ... 221 6.7 ... Referenzen und weiterführende Standards ... 226 7. OpenID Connect: Authentifizierung auf Basis von OAuth 2.0 ... 229 7.1 ... Einführung in OpenID Connect ... 230 7.2 ... Discovery und Metadaten: Wie Clients OpenID-Provider finden ... 237 7.3 ... Das ID-Token: Identitätsnachweis in OpenID Connect ... 247 7.4 ... OpenID-Connect-Flows ... 254 7.5 ... Nutzerdaten abrufen: Der UserInfo-Endpoint ... 267 7.6 ... Social Login und Identity-Federation ... 273 7.7 ... Sessions und Authentifizierungsstatus verwalten ... 294 7.8 ... Session-Beendigung und koordinierter Logout ... 309 7.9 ... Fazit ... 323 8. OAuth in Microservice-Architekturen ... 325 8.1 ... Das Problem: Delegation-Chains in Microservices ... 326 8.2 ... Die Lösung: Token-Exchange ... 329 8.3 ... Token-Exchange -- der Standard ... 333 8.4 ... Der On-Behalf-Of-Flow: Impersonation ... 341 8.5 ... Delegation-Flow: Explizite Service-Identifikation ... 347 8.6 ... Token-Translation: Format und Audience ... 358 8.7 ... Praktische Integration und Architektur-Patterns ... 365 8.8 ... Ausblick: Die Zukunft der Service-zu-Service-Authentifizierung ... 371 9. Sicherheit und Bedrohungsmodelle in OAuth 2.0 ... 375 9.1 ... Das Angreifermodell ... 376 9.2 ... Bedrohungen im Authorization-Code-Flow ... 380 9.3 ... Bedrohungen beim Token-Handling ... 396 9.4 ... Schutzmaßnahmen für Refresh-Tokens ... 400 9.5 ... Clientseitige Bedrohungen ... 402 9.6 ... Security Checklist für OAuth-2.0-Implementierungen ... 416 9.7 ... Ausblick ... 419 10. OAuth 2.0 für browserbasierte Anwendungen ... 421 10.1 ... Browserbasierte Anwendungen und OAuth: Die Sicherheitsherausforderung ... 423 10.2 ... Das Backend-for-Frontend-Pattern: Die Lösung für sichere Browseranwendungen ... 432 11. OAuth 2.1 und moderne Sicherheitserweiterungen ... 447 11.1 ... OAuth 2.1: Die Konsolidierung der Best Practices ... 448 11.2 ... Sender-Constrained Tokens: DPoP und mTLS ... 453 11.3 ... Absicherung des Authorization-Requests: PAR und JAR ... 477 11.4 ... Zusammenfassung und Kernbotschaften ... 491 12. Praktische Implementierung von OAuth 2.0 und OIDC ... 493 12.1 ... Authorization-Server im Vergleich ... 495 12.2 ... Voraussetzungen und Setup ... 505 12.3 ... Szenario 1: Authorization-Code-Flow mit PKCE für Browseranwendungen ... 506 12.4 ... Szenario 2: Client-Credentials-Flow für die Service-to-Service-Kommunikation ... 522 12.5 ... Szenario 3: Token-Exchange in Microservice-Architekturen ... 543 12.6 ... Szenario 4: Das Backend-for-Frontend-(BFF-)Pattern ... 564 12.7 ... Production-Readiness: Von der Implementierung zum produktiven Betrieb ... 575 13. Zusammenfassung und Ausblick ... 583 13.1 ... Von der Theorie zur Praxis: Was Sie gelernt haben ... 584 13.2 ... Entscheidungshilfen: Die richtigen Technologien wählen ... 585 13.3 ... Financial-grade API (FAPI): Höchste Sicherheit für kritische Anwendungen ... 588 13.4 ... Zukünftige Entwicklungen: Was kommt nach OAuth 2.1? ... 593 13.5 ... Weiterführende Ressourcen und Communities ... 606 13.6 ... Abschließende Worte ... 614 Index ... 617