Was Sie über OAuth2 und die Anmeldung mit Facebook wissen müssen

Veröffentlicht: 2022-03-10
Kurze Zusammenfassung ↬ OAuth2 macht es Benutzern leicht, sich bei Ihrer App anzumelden, sich nicht für jede Website ein Passwort merken zu müssen und Ihrer Sicherheit zu vertrauen. OAuth2 dominiert die Branche, da es kein anderes Sicherheitsprotokoll gibt, das der Einführung von OAuth2 nahe kommt.

Falls Sie sich fragen, was OAuth2 ist, es ist das Protokoll, das es jedem ermöglicht, sich mit seinem Facebook-Konto anzumelden. Es unterstützt die Schaltfläche „Mit Facebook anmelden“ in Apps und auf Websites überall.

Dieser Artikel zeigt Ihnen, wie „Mit Facebook anmelden“ funktioniert und erklärt das Protokoll dahinter. Sie erfahren, warum Sie sich bei Facebook, Google, Microsoft oder einem der vielen anderen Unternehmen anmelden möchten, die OAuth2 unterstützen.

Dieser Artikel zeigt Ihnen, wie „Mit Facebook anmelden“ funktioniert und erklärt das Protokoll dahinter. Sie erfahren, warum Sie sich bei Facebook, Google, Microsoft oder einem der vielen anderen Unternehmen anmelden möchten, die OAuth2 unterstützen.

Wir sehen uns zwei Beispiele an: Warum Spotify Facebook verwendet, damit Sie sich bei der mobilen Spotify-App anmelden können, und warum Quora Google und Facebook verwendet, damit Sie sich bei seiner Website anmelden können.

Weiterführende Literatur zu SmashingMag:

  • Vier Möglichkeiten zum Erstellen einer mobilen Anwendung
  • So erstellen Sie ehrliche Benutzeroberflächen und helfen Benutzern, bessere Entscheidungen zu treffen
  • Halten Sie Ihre Android-App nach dem Start beliebt
  • Spotify-Wiedergabelisten, um Ihre Programmier- und Designsitzungen anzukurbeln
Mehr nach dem Sprung! Lesen Sie unten weiter ↓

Vor OAuth2

OAuth2 hat vor einigen Jahren einen Kampf um Standards gewonnen. Es ist das einzige Authentifizierungsprotokoll, das von den großen Anbietern unterstützt wird. Google empfiehlt OAuth2 für alle seine APIs, und die Graph-API von Facebook unterstützt nur OAuth2.

Der beste Weg, OAuth2 zu verstehen, besteht darin, sich anzusehen, was davor kam und warum wir etwas anderes brauchten. Alles begann mit Basic Auth.

Basis-Auth

Authentifizierungsschemata konzentrieren sich auf zwei Schlüsselfragen: Wer sind Sie? Und kannst du es beweisen?

Am häufigsten werden diese beiden Fragen mit einem Benutzernamen und einem Passwort gestellt. Der Benutzername sagt, wer Sie sind, und das Passwort beweist es.

Basic Auth war das erste Web-Authentifizierungsschema. Es klingt komisch, aber „Basisauthentifizierung“ war der eigentliche Name in der 1999 erstmals veröffentlichten Spezifikation.

Basic Auth ermöglicht es Webservern, diese Anmeldeinformationen auf eine für Browser verständliche Weise anzufordern. Der Server gibt einen HTTP-Antwortcode von 401 zurück (was bedeutet, dass eine Authentifizierung erforderlich ist) und fügt der Antwort einen speziellen Header namens WWW-Authenticate mit einem speziellen Wert von Basic hinzu.

Wenn der Browser diesen Antwortcode und diesen Header sieht, zeigt er einen Popup-Anmeldedialog:

Der Anmeldedialog Basic Auth
Der Anmeldedialog Basic Auth

Das Tolle an Basic Auth ist seine Einfachheit. Sie müssen keinen Anmeldebildschirm schreiben. Der Browser übernimmt all das und sendet nur den Benutzernamen und das Passwort an den Server. Es gibt dem Browser auch die Möglichkeit, das Passwort speziell zu handhaben, sei es, indem er es sich für den Benutzer merkt, es von einem Plugin eines Drittanbieters erhält oder die Anmeldeinformationen des Benutzers von seinem Betriebssystem übernimmt.

Der Nachteil ist, dass Sie keine Kontrolle über das Erscheinungsbild des Anmeldebildschirms haben. Das bedeutet, dass Sie es nicht gestalten oder neue Funktionen hinzufügen können, z. B. „Passwort vergessen?“. Link oder eine Option zum Erstellen eines neuen Kontos. Wenn Sie mehr Anpassungen wünschen, müssen Sie ein benutzerdefiniertes Anmeldeformular schreiben.

Benutzerdefinierte Anmeldeformulare

Benutzerdefinierte Anmeldeformulare geben Ihnen die Kontrolle, die Sie sich wünschen. Sie schreiben ein HTML-Formular und fordern die Anmeldeinformationen an. Anschließend senden Sie das Formular ab und handhaben die Anmeldung wie Sie möchten. Sie haben die volle Kontrolle: Sie können es gestalten, nach weiteren Details fragen oder weitere Links hinzufügen.

Einige Websites, wie z. B. WordPress, verwenden ein einfaches Formular für den Anmeldebildschirm:

WordPress-Anmeldebildschirm
WordPress-Anmeldebildschirm

LinkedIn ermöglicht es Benutzern, sich auf derselben Seite anzumelden oder ein Konto zu erstellen, ohne zu einem anderen Teil der Website gehen zu müssen:

LinkedIn-Anmeldebildschirm
LinkedIn-Anmeldebildschirm (Große Version anzeigen)

Die formularbasierte Anmeldung ist sehr beliebt, hat aber ein großes grundlegendes Problem: Benutzer müssen der Website ihr Passwort mitteilen.

Geheimnisse geheim halten

In Sicherheitskreisen nennen wir ein Passwort ein Geheimnis. Es ist eine Information, die nur Sie haben und die beweist, dass Sie Sie sind. Das Geheimnis kann auch mehr als nur ein Passwort sein; wir werden später mehr darüber sprechen.

Eine Website kann alle Sicherheitsmaßnahmen der Welt ergreifen, aber wenn der Benutzer sein Passwort teilt, ist diese Sicherheit weg. Hacker brachen 2010 in die Gawker-Website ein und enthüllten die Passwörter vieler Benutzer. Dies war zwar ein Problem für Gawker, aber das Problem hörte hier nicht auf. Die meisten Menschen verwenden Passwörter wieder, also nahmen Hacker die durchgesickerten Daten von Gawker und versuchten, sich bei kritischeren Websites wie Gmail, Facebook und eBay anzumelden. Wer ein Gawker-Passwort für wichtigere Dinge benutzte, verlor viel mehr als den neuesten Klatsch über das Sextape von Hulk Hogan.

Sicherzustellen, dass Ihre Benutzer ein Passwort nicht für mehrere Konten wiederverwenden, ist die erste Hälfte des Problems – und es ist unmöglich. Solange Menschen überall im Internet verschiedene Konten erstellen müssen, werden sie ihre Passwörter wiederverwenden.

Die zweite Hälfte des Problems besteht darin, die Passwörter sicher zu speichern.

Wenn sich jemand bei Ihrer App anmeldet, müssen Sie sein Passwort verifizieren, und das bedeutet, dass Sie eine Kopie benötigen, um es zu verifizieren. Sie könnten alle Benutzernamen und Passwörter irgendwo in einer Datenbank speichern, aber jetzt riskieren Sie, diese Passwörter zu verlieren oder gehackt zu werden. Die bewährte Methode ist die Verwendung einer Hash-Funktion, z. B. einer der SHA-2-Funktionen. Diese Funktion verschlüsselt Daten so, dass Sie sie nie zurückbekommen, aber Sie können die Verschlüsselung replizieren: „Mein Passwort“ wird jedes Mal zu etwas wie bb14292d91c6d0920a5536bb41f3a50f66351b7b9d94c804dfce8a96ca1051f2 .

Und jetzt gehen wir ins hohe Gras: Ich erkläre Ihnen, wie Sie kryptografische Protokolle implementieren. Als Nächstes muss ich erklären, wie Sie Ihren Daten Salz hinzufügen und welche Lehrbücher Sie über Man-in-the-Middle-Angriffe lesen sollten. Sie wollten eigentlich nur eine App schreiben, und jetzt müssen Sie Sicherheitsexperte werden. Wir müssen zurücktreten.

OAuth2

Sie sind wahrscheinlich kein Sicherheitsexperte. Selbst wenn Sie es wären, würde ich Ihnen mein Passwort immer noch nicht anvertrauen. OAuth2 bietet Ihnen einen besseren Weg.

Als Beispiel verwende ich Spotify auf meinem iPad. Ich zahle der Firma 10 Dollar im Monat, um Musik zu hören. Spotify gibt mir Zugriff auf nur drei Geräte, daher brauche ich ein Passwort, um sicherzustellen, dass niemand anderes mein Konto verwendet. Mein Spotify-Konto ist kein großes Sicherheitsproblem. Gehackt zu werden wäre nicht das Ende der Welt, aber das Unternehmen hat meine Kreditkarte, also möchte ich sicherstellen, dass ich sicher bin.

Ich melde mich kaum bei Spotify an, also möchte ich kein weiteres Konto erstellen und muss mir ein weiteres Passwort merken. Spotify bietet mir eine bessere Option:

Spotify-Anmeldebildschirm mit der Option _Mit Facebook anmelden_
Spotify-Anmeldebildschirm mit Option „Mit Facebook anmelden“ (Große Version anzeigen)

Ich kann mich mit meinem Facebook-Konto anmelden. Wenn ich auf diese Schaltfläche tippe, schickt mich Spotify zu facebook.com und ich melde mich dort an. Dies mag wie ein kleines Detail erscheinen, aber es ist der wichtigste Schritt des gesamten Prozesses.

Facebook-Anmeldebildschirm für Spotify
Facebook-Anmeldebildschirm für Spotify (Große Version anzeigen)

Die Programmierer von Spotify hätten selbst ein Anmeldeformular schreiben und dann meinen Benutzernamen und mein Passwort mit einer Backend-API an Facebook senden können, aber es gibt zwei wichtige Gründe, warum ich das nicht möchte:

  • Ich vertraue Spotify mein Facebook-Passwort nicht an. Ich benutze Facebook, um mich mit Freunden zu verbinden, und ich möchte nicht gehackt werden. Ich vertraue nicht darauf, dass Spotify das Passwort korrekt handhabt. Ich vertraue auch nicht darauf, dass es der Versuchung widerstehen wird, etwas Lustiges damit zu machen. Vielleicht würde es versuchen, es zu speichern, damit es es später verwenden kann. Vielleicht hat es einen Fehler, der es irgendwo in eine Datei schreibt, bevor es an Facebook gesendet wird, damit ein Hacker es sich schnappen könnte. Es tut mir leid, Spotify; Ich bin einfach nicht der vertrauensvolle Typ.
  • Ich möchte Spotify nicht alles machen lassen. Ich möchte, dass Spotify Musik abspielt. Ich möchte nicht, dass es auf den Pinnwänden meiner Freunde gepostet wird, wenn ich die Spice Girls höre. Ich möchte auch nicht, dass es meine Freundesliste herunterlädt und sie annervt, Spotify beizutreten. Wenn ich Spotify mein Facebook-Passwort gegeben habe, könnte es sich als ich bei Facebook anmelden; es konnte alles tun, was ich tun konnte.

Es gibt auch zwei große Gründe, warum Spotify das nicht will:

  • Facebook bietet mir mehrere Möglichkeiten, mich anzumelden. . Ich kann mich entweder mit meinem Benutzernamen und Passwort anmelden oder ich kann mich mit der Facebook-App anmelden. Ich kann auch mein Passwort von Facebook abrufen oder Hilfe erhalten, die Spotify mir nicht geben kann. Wenn ich Spotify einfach mein Passwort gegeben hätte, würde ich keine dieser Optionen erhalten.
  • Mein Geheimnis ist vielleicht kein Passwort. . Ein Passwort ist genug Sicherheit für mein 10-Dollar-pro-Monat-Spotify-Konto, aber es reicht möglicherweise nicht für meine Bank oder etwas noch Wichtigeres. Es gibt noch viele andere Geheimnisse, die ich verraten könnte: Ich habe vielleicht eine Smartcard oder ich lebe in einem Mission Impossible-Film und benutze einen Netzhautscanner.

Ich bin nicht in einem Mission Impossible-Film, aber in der realen Welt verwenden viele Unternehmen die Zwei-Faktor-Authentifizierung, z. B. ein Passwort und etwas anderes. Die gebräuchlichste Methode ist die Verwendung Ihres Telefons. Wenn Sie sich anmelden möchten, sendet Ihnen das Unternehmen eine SMS mit einem speziellen Code, der einige Minuten dauert; Sie geben dann den Code ein oder verwenden eine App, um ihn einzugeben.

Jetzt ist das Unternehmen sicher, dass sich niemand ohne Ihr Telefon in Ihr Konto einloggen kann. Wenn jemand Ihr Passwort stiehlt, kann er sich immer noch nicht anmelden. Solange Sie Ihr Telefon nicht verlieren, ist alles sicher.

Facebook ist nicht der einzige OAuth2-Anbieter. Wenn ich mich mit meinem Google-Konto bei Quora anmelde, teilt mir Google mit, was Quora tun möchte, und fragt, ob das in Ordnung ist:

Der Schritt-2-Dialog für den Google Quora OAuth2-Prozess
Der Schritt-2-Dialog für den OAuth2-Prozess von Google und Quora

Ich könnte Quora erlauben, meine E-Mail-Adresse und meine grundlegenden Profildaten einzusehen, aber ich möchte nicht, dass es meine Kontakte verwaltet. OAuth2 zeigt mir den gesamten Zugriff, den Quora möchte, und ermöglicht mir, auszuwählen, worauf ich Zugriff gewähre.

Das sind also die Vorteile von OAuth2. Mal sehen, wie es funktioniert.

Funktionsweise von OAuth2

Facebook, Google und die meisten anderen OAuth2-Anbieter behandeln native Clients anders als Webclients. Native Clients gelten als sicherer und erhalten Token und Refresh-Token, die Monate halten können. Webclients erhalten viel kürzere Token, die normalerweise ablaufen, wenn der Benutzer den Browser schließt oder eine Weile nicht auf die Website geklickt hat.

Der Anmeldevorgang ist in beiden Fällen gleich. Der Unterschied besteht darin, wie oft der Benutzer es durchlaufen muss.

Die OAuth2-Anmeldung folgt diesen allgemeinen Schritten:

  1. Der Benutzer versucht, etwas zu tun, das eine Authentifizierung erfordert. Dies kann so einfach sein wie das Öffnen einer App oder das Klicken auf die Schaltfläche „Anmelden“.
  2. Die App oder Website stellt fest, dass sich der Benutzer noch nicht angemeldet hat, und startet den Anmeldevorgang. Dies geschieht durch Öffnen einer Webseite und Senden an eine spezielle URL bei Facebook, Google oder einer anderen Website, die Ihr OAuth2 bereitstellt.

Das Öffnen eines neuen Browserfensters für den OAuth2-Anbieter ist ein entscheidender Schritt. Auf diese Weise können Anbieter ihre eigenen Anmeldeformulare anzeigen und jeden Benutzer nach den erforderlichen Anmeldeinformationen fragen. Die meisten Apps tun dies mit einer eingebetteten Webansicht.

Zusammen mit der Anmelde-URL des Anbieters müssen Sie einige URL-Parameter senden, die dem Anbieter mitteilen, wer Sie sind und was Sie tun möchten:

  • client_id Dies teilt dem OAuth2-Anbieter mit, was Ihre App ist. Sie müssen Ihre App im Voraus registrieren, um eine Client-ID zu erhalten.
  • redirect_uri Dies teilt dem Anbieter mit, wohin Sie gehen möchten, wenn Sie fertig sind. Bei einer Website könnte dies die Rückkehr zur Hauptseite sein; Eine native App könnte zu einer Seite wechseln, die die Webansicht schließt.
  • response_type Dies teilt dem Anbieter mit, was Sie zurückwünschen. Normalerweise ist dieser Wert entweder token , um anzugeben, dass Sie ein Zugriffstoken benötigen, oder code , um anzugeben, dass Sie einen Zugriffscode benötigen. Anbieter können diesen Wert auch erweitern, um andere Datentypen bereitzustellen.
  • scope Dies teilt dem Anbieter mit, worauf Ihre App zugreifen möchte. So weiß Google, dass Quora um Zugriff bittet, um Ihre Kontakte zu verwalten. Jeder Anbieter hat einen anderen Satz von Bereichen.

Es gibt zusätzliche Felder, die mehr Sicherheit bieten oder beim Caching helfen können. Bestimmte Anbieter können auch weitere Felder hinzufügen, aber diese vier sind die wichtigsten.

Sobald Ihre App die Webansicht öffnet, übernimmt der Anbieter. Sie fragen möglicherweise nur nach einem einfachen Benutzernamen und Passwort, oder sie zeigen mehrere Bildschirme an, auf denen Sie nach irgendetwas fragen, vom Namen Ihres Lieblingslehrers bis zum Mädchennamen Ihrer Mutter. Das liegt ganz bei ihnen. Der wichtige Teil ist, dass der Anbieter, wenn er fertig ist, zu Ihnen zurückleitet und Ihnen ein Token gibt.

Es dreht sich alles um die Token

Wenn der Vorgang abgeschlossen ist, gibt Ihnen der Anbieter einen Token und einen Tokentyp. Es gibt zwei Arten von Token: Zugriffstoken und Aktualisierungstoken. Die Art Ihres Kunden bestimmt, welche Arten von Token Sie anfordern dürfen.

Wenn ich mich in meine Spotify-App einlogge, kann ich monatelang eingeloggt bleiben, weil davon ausgegangen wird, dass mein Telefon nur von mir verwendet wird. Facebook vertraut darauf, dass die Spotify-App die Token verwaltet, und ich vertraue darauf, dass die Spotify-App die Token nicht verliert.

Wenn das Zugriffstoken abgelaufen ist (normalerweise in ein bis zwei Stunden), kann Spotify das Aktualisierungstoken verwenden, um ein neues zu erhalten.

Das Aktualisierungstoken ist monatelang gültig. So muss ich mich nur ein paar Mal im Jahr auf meinem Handy anmelden. Der Nachteil ist, dass, wenn ich dieses Aktualisierungstoken verliere, jemand anderes mein Konto monatelang verwenden könnte. Das Aktualisierungstoken ist so wichtig, dass iOS einen Schlüsselbund für Token bereitstellt, in dem es dafür sorgt, dass sie verschlüsselt und sicher gespeichert werden.

Die Verwendung von OAuth2 in einer Webanwendung funktioniert auf die gleiche Weise. Anstatt eine Webansicht zu verwenden, können Sie die OAuth2-Anmeldeanfrage in einem Frame, einem Iframe oder einem separaten Fenster öffnen. Sie können es auch auf der aktuellen Seite öffnen, aber das würde dazu führen, dass Sie den gesamten JavaScript-Anwendungsstatus verlieren, wenn sich jemand anmelden muss.

Wenn ich mich mit meinem Webbrowser bei Quora anmelde, erhalte ich kein Aktualisierungstoken. Sie möchten, dass das Token abläuft und mich auffordert, mich erneut anzumelden, wenn ich meinen Browser beende oder einfach nur zum Mittagessen weggehe. Nicht vertrauenswürdige Clients können das Token nicht aktualisieren, da ihnen nicht vertraut werden kann, dass sie das wichtige Aktualisierungstoken aufbewahren. Es ist sicherer, aber weniger bequem, da Sie viel häufiger aufgefordert werden, sich erneut anzumelden.

Verwenden von OAuth2 in Ihrer App

Jetzt wissen Sie, wie OAuth2 funktioniert, möchten aber wahrscheinlich keinen eigenen OAuth2-Client implementieren. Sie können die gesamte 75-seitige OAuth-2.0-Spezifikation lesen, wenn Sie Schlafstörungen haben, müssen es aber nicht. Es gibt einige großartige Bibliotheken, die Sie verwenden können.

iOS bietet integrierte Unterstützung für OAuth2. Corrina Krych hat ein sehr hilfreiches Tutorial zur Verwendung von OAuth 2.0 mit Swift. Es führt Sie durch, wie Sie ein Token erhalten, wie Sie die Ansichten in Ihre App integrieren und wo Sie Ihre Token speichern.

Android hat auch eine integrierte Unterstützung für OAuth2. Ich muss zugeben, dass ich damit nicht so vertraut bin, weil ich mich auf iOS konzentriere, aber es gibt einige gute Abschnitte in der Dokumentation, die Ihnen Beispiele zeigen, und einige Open-Source-Bibliotheken, um es noch einfacher zu machen.

JavaScript hat keine integrierte Unterstützung für OAuth2, aber es gibt Clients für alle wichtigen JavaScript-Bibliotheken. React unterstützt OAuth2 vollständig. AngularJS bietet für viele Projekte Unterstützung von Drittanbietern für OAuth2.0. Ich habe sogar einen davon geschrieben.

Sobald Sie einen OAuth2-Client haben, müssen Sie einen Anbieter auswählen.

Wem vertraust Du?

Die große Annahme hier ist, dass ich Facebook mehr vertraue als Spotify. Ich habe keinen triftigen Grund dafür. Facebook macht seine interne Sicherheit nicht öffentlich und es gibt keine gute Möglichkeit für mich, sie zu überprüfen. Spotify auch nicht. Es gibt keine Verbraucherberichte für die OAuth2-Sicherheit. Ich vertraue grundsätzlich Facebook, weil es größer ist. Ich vertraue Facebook, weil andere es tun.

Außerdem vertraue ich Facebook jedes Mal mehr, wenn ich auf die Schaltfläche „Mit Facebook anmelden“ klicke. Wenn Facebook mein Passwort verliert, erhalten Hacker nicht nur Zugriff auf mein Facebook-Konto, sondern auch auf mein Spotify-Konto und auf alle anderen Dienste, bei denen ich mich mit meinem Facebook-Konto angemeldet habe. Der Vorteil ist, dass es nur einen Ort gibt, an dem ich mein Passwort zurücksetzen muss, um das Problem zu beheben.

Ich muss Facebook nicht vertrauen, aber ich muss jemandem vertrauen. Jemand muss mich authentifizieren. Ich muss den Anbieter wählen, dem ich vertraue.

Auswählen eines OAuth2-Anbieters

Wikipedia führt eine Liste von OAuth-Anbietern, aber die meisten von ihnen würden Sie nicht interessieren. Die großen sind Facebook und Google. Vielleicht möchten Sie sich auch Amazon oder Microsoft ansehen.

Alle vier sind groß und einfach zu integrieren. Facebook stellt Anweisungen zum Registrieren einer App bereit. Google hat ähnliche Schritte. Die Grundidee ist, dass Sie ein Entwicklerkonto erstellen und dann eine App-ID erstellen. Der Anbieter gibt Ihnen dann eine Client-ID, mit der Sie Anfragen stellen können.

Sie können auch mehrere Anbieter auswählen. Quora ermöglicht es Ihnen, sich bei Facebook oder Google anzumelden; Da beide OAuth2 verwenden, können Sie für beide denselben Code verwenden.

Was in OAuth2 fehlt

OAuth2 leistet sehr gute Arbeit bei der Lösung eines komplexen Problems, aber es fehlen ein paar Dinge:

  • Der Standard ist nicht ganz Standard. Ich war noch nie in der Lage, einen einzigen OAuth2-Client zu schreiben, der sich ohne ein paar if -Anweisungen sowohl bei Facebook als auch bei Google anmelden kann. Jeder interpretiert die Spezifikation anders, und es gibt kleine unterschiedliche Details für jeden. Sie haben auch immer unterschiedliche Vorstellungen, welche Umfänge zur Verfügung gestellt werden sollen. Die Verwendung einer Bibliothek zur Integration mit OAuth2 hilft bei diesem Problem sehr, aber es wird im Code Ihrer App niemals 100 % transparent sein.
  • Das Abmelden ist schwierig. . Jede App oder Website, die OAuth2 verwendet, hat eine Abmeldeschaltfläche, aber die meisten werden die Token einfach vergessen, ohne sie ungültig zu machen. Die App vergisst alle Ihre aktuellen Token und erlaubt jemand anderem, sich anzumelden, aber Ihre Token sind immer noch gültig. Wenn ein Hacker Ihr Token gestohlen hat, könnte er es immer noch verwenden und sich als Sie anmelden.

Es gibt eine separate Spezifikation zum Invalidieren von OAuth2-Token, die jedoch von vielen der großen Anbieter nicht übernommen wurde. OAuth2 bietet keine Möglichkeit zur Wiederherstellung, wenn ein Hacker Ihr Aktualisierungstoken erhält; Auch wenn Sie Ihre lokale Kopie des Tokens löschen können, hat der Hacker sie immer noch. Viele Anbieter bieten Ihnen die Möglichkeit, Ihr Konto zu sperren, aber es gibt keine Standardmethode dafür.

Zur Verteidigung von OAuth2 ist dies ein schwieriges Problem, da viele Anbieter Public-Key-Kryptographie verwenden, um zustandslose Token zu erstellen. Das bedeutet, dass sich der Server die von ihm erstellten Token nicht merkt und sie später nicht vergessen kann.

Das andere große Problem mit OAuth2 ist, dass Sie von Ihrem Anbieter abhängig sind. Wenn Facebook ausfällt, fällt auch die Schaltfläche „Mit Facebook anmelden“ in Ihrer App aus. Wenn Google beschließt, Ihnen die Unterstützung von OAuth2 in Rechnung zu stellen, oder verlangt, dass Sie Ihren Gewinn damit teilen, können Sie nichts tun. Dies ist das zweischneidige Schwert, einem Anbieter zu vertrauen: Er tut viel für Sie, aber er hat die Kontrolle über Ihre Benutzer.

OAuth2 regiert die Welt

Auch mit ein paar fehlenden Funktionen und einer großen Abhängigkeit ist OAuth2 immer noch eine ausgezeichnete Wahl. Es macht es Benutzern leicht, sich bei Ihrer App anzumelden, sich nicht für jede Website ein Passwort merken zu müssen und Ihrer Sicherheit zu vertrauen. OAuth2 ist eine sehr beliebte Wahl. Es dominiert die Branche. Kein anderes Sicherheitsprotokoll kommt der Annahme von OAuth2 nahe.

Jetzt wissen Sie, woher OAuth2 kommt und wie es funktioniert. Treffen Sie kluge Entscheidungen darüber, wem Sie vertrauen können, hören Sie auf, Artikel über das sichere Speichern verschlüsselter Passwörter zu lesen, und verbringen Sie mehr Zeit damit, Ihre erstaunliche App zu schreiben.