Was ist OAuth? Login mit Google erklärt

Wie der Ablauf funktioniert

Du schickst den Nutzer zum Anbieter (sagen wir Google), um sich anzumelden. Er stimmt zu, ein paar grundlegende Informationen mit deiner App zu teilen. Der Anbieter schickt den Nutzer dann zu deiner App zurück, zusammen mit einem Nachweis, wer er ist. Deine App vertraut diesem Nachweis, statt selbst ein Passwort zu verwalten.

Warum es sicherer ist

Passwörter korrekt zu speichern ist wirklich schwer und gefährlich, wenn man es falsch macht. OAuth bedeutet, dass du gar keine Passwörter speicherst, also verschwindet eine ganze Kategorie von Sicherheitsrisiko. Der Anbieter übernimmt die schwierigen Teile, einschliesslich Dingen wie Zwei-Faktor-Authentifizierung, für dich.

Du baust es meist nicht selbst

OAuth hat viele kleine, sicherheitssensible Details, also implementiert es fast niemand von Hand. Stattdessen nutzt du einen Authentifizierungs-Dienst wie Clerk, der es in ein paar Komponenten verpackt. Du aktivierst "Login mit Google", und der Dienst übernimmt den Ablauf, sodass du dich auf dein eigentliches Produkt konzentrieren kannst.

Häufige Anfänger-Verwirrungen

Leute vermischen oft drei verwandte Begriffe. Authentifizierung ist zu beweisen, wer du bist (einloggen), Autorisierung ist, was du tun darfst, sobald du drin bist, und OAuth ist der Standard, der einen Anbieter den Beweis-Teil für dich übernehmen lässt. Eine zweite Verwirrung ist zu denken, OAuth heisse, dass du kein E-Mail-und-Passwort-Login mehr anbieten kannst; kannst du, und die meisten Apps bieten beides nebeneinander. Eine dritte ist die Lücke zwischen Entwicklung und Produktion: Social Login funktioniert beim Bauen meist mit Test-Zugangsdaten und braucht dann vor dem Launch einen sorgfältigen Wechsel zu echten Anbieter-Einstellungen. Weil ein Auth-Dienst all das verwaltet, ist deine Aufgabe vor allem Konfiguration, nicht Kryptografie, was genau der Grund ist, warum es der empfohlene Weg ist.

Häufige Fragen

Weiterlernen