OAuth und OpenID Connect (OIDC) sind Standards für Authentifizierung und Autorisierung im Internet. Während OAuth primär den sicheren Zugriff auf APIs regelt, erweitert OIDC dies um eine standardisierte Nutzeranmeldung. OAuth und OpenID Connect (OIDC) werden oft in einem Atemzug genannt, da OIDC auf OAuth aufbaut. Dennoch erfüllen beide Protokolle unterschiedliche Zwecke und haben spezifische Einsatzbereiche. In dieser Ausgabe unserer Reihe „REST & SOAP – Schnittstellen ohne Fachchinesisch erklärt“ beleuchten wir die Unterschiede.
OAuth 2.0 – Der digitale Türöffner
Stell dir OAuth wie ein Hotel mit elektronischen Zimmerschlüsseln vor:
- Du kommst an die Rezeption (Authorization Server) und sagst, dass du Zugang brauchst (deine App fordert Zugriff an).
- Die Rezeption überprüft, ob du ein Gast bist (aber ohne deine Identität offiziell zu bestätigen).
- Du erhältst eine Schlüsselkarte (Access Token), die dir den Zutritt zu deinem Zimmer ermöglicht.
Aber: Diese Schlüsselkarte ist anonym. Das Türschloss erkennt nur, dass die Karte gültig ist – nicht, wem sie gehört. Willst du an der Bar auf dein Zimmer anschreiben lassen, reicht die Schlüsselkarte nicht aus, denn sie enthält keine Identitätsinformationen.
👉 Fazit: OAuth erlaubt dir den Zugriff auf Ressourcen (z. B. APIs), aber ohne zu verraten, wer du bist.
OpenID Connect – Schlüssel und Ausweis in einem
OIDC erweitert OAuth um eine Identitätsprüfung – vergleichbar mit einer zusätzlichen Bestätigung an der Hotelrezeption:
- Beim Einchecken wirst du nicht nur nach deinem Zimmer gefragt, sondern musst dich auch ausweisen (Authentifizierung).
- Nach der Prüfung erhältst du zwei Dinge:
- Eine Schlüsselkarte (Access Token) für dein Zimmer.
- Eine Buchungsbestätigung mit deinem Namen (ID Token), die du nutzen kannst, um dich als Gast auszuweisen.
Jetzt kannst du nicht nur dein Zimmer betreten, sondern auch an der Bar auf dein Zimmer anschreiben lassen – weil du mit dem ID Token nachweisen kannst, wer du bist.
In der Praxis werden diese beiden Informationen oft zusammen in einen JWT (Json Web Token) geschrieben und im Header einer HTTP Anfrage mitgegeben.
👉 Fazit: OpenID Connect erweitert OAuth um Identitätsinformationen. Damit kannst du nicht nur Ressourcen nutzen, sondern dich auch als berechtigter Nutzer authentifizieren. Zudem können dir individuelle, nutzerbezogene Inhalte angezeigt werden. Durch die im Token enthaltenen Rollen oder Berechtigungen kann der Server außerdem entscheiden, welche Aktionen du ausführen darfst und welche Ressourcen dir zur Verfügung stehen.
