Geleitwort des Fachgutachters ... 17
Danksagung ... 19
1. Einführung in die moderne Sicherheit von Webanwendungen ... 21
1.1 ... Welche Bedeutung hat die Absicherung von Webanwendungen? ... 21
1.2 ... Die Entwicklung von Sicherheitspraktiken für Webanwendungen ... 22
1.3 ... OAuth2 und OpenID Connect -- die heutigen Sicherheitsherausforderungen bewältigen ... 23
1.4 ... Die Rolle von OAuth2 und OpenID Connect bei der Abwehr neuer Sicherheitsbedrohungen ... 24
2. Das Grundprinzip der Authentifizierung ... 27
2.1 ... Passwortbasierte Authentifizierung ... 28
2.2 ... Cookiebasierte Authentifizierung ... 29
2.3 ... Tokenbasierte Authentifizierung ... 30
2.4 ... Zertifikatsbasierte Authentifizierung ... 33
2.5 ... Biometrische Authentifizierung ... 35
2.6 ... Multi-Faktor-Authentifizierung ... 37
2.7 ... Vergleich der Authentifizierungsmethoden ... 38
2.8 ... Single Sign-on: Zentralisierte Authentifizierung für mehr Komfort und Sicherheit ... 40
2.9 ... FIDO: Sicherheitsstandards für starke Authentifizierung ... 44
3. Autorisierung: Wer darf was? ... 65
3.1 ... Die Grundlagen der Autorisierung ... 66
3.2 ... Klassische Autorisierungsmodelle ... 68
3.3 ... Autorisierung in modernen Webanwendungen ... 78
3.4 ... Moderne Ansätze und Standards ... 83
3.5 ... Praktische Umsetzung ... 87
3.6 ... Herausforderungen und Zukunftsausblick ... 91
3.7 ... Fazit ... 94
4. Das JSON Web Token ... 97
4.1 ... Einführung und Verwendung eines JSON Web Tokens ... 97
4.2 ... Anatomie eines JWT ... 99
4.3 ... JWT-Claims im Detail ... 103
4.4 ... JSON Web Signature (JWS) ... 107
4.5 ... JSON Web Encryption (JWE) ... 117
4.6 ... Sign-then-Encrypt: Die Kombination von JWS und JWE ... 126
4.7 ... Bedrohungen und Schwachstellen bei der Verwendung von JWTs ... 127
4.8 ... Bewährte Praktiken im Umgang mit JSON Web Tokens ... 129
4.9 ... Post-Quantum-JWTs-Standards ... 133
5. Die Entwicklung von OAuth2 und OpenID Connect: Eine historische Betrachtung ... 137
5.1 ... Von zentralisierten zu föderierten Identitäten ... 137
5.2 ... Die Ära vor OAuth: SAML und seine Grenzen ... 138
5.3 ... Die Geburt von OAuth 1.0 ... 143
5.4 ... OAuth 2.0: Die Revolution -- von Signaturen zu Bearer-Tokens ... 148
5.5 ... Die Authentifizierungslücke -- warum OAuth 2.0 allein nicht reichte ... 152
6. OAuth 2.0: Sichere Autorisierung für moderne Webanwendungen ... 155
6.1 ... Die Rollen im OAuth-2.0-Ökosystem ... 156
6.2 ... Kernkonzepte von OAuth 2.0 ... 160
6.3 ... Grant-Typen: Wege zur Autorisierung ... 167
6.4 ... Access-Tokens: Das Herzstück der OAuth-Autorisierung ... 205
6.5 ... Refresh-Tokens: Langlebige Sitzungen ohne Passwörter ... 214
6.6 ... Management der Tokens ... 221
6.7 ... Referenzen und weiterführende Standards ... 226
7. OpenID Connect: Authentifizierung auf Basis von OAuth 2.0 ... 229
7.1 ... Einführung in OpenID Connect ... 230
7.2 ... Discovery und Metadaten: Wie Clients OpenID-Provider finden ... 237
7.3 ... Das ID-Token: Identitätsnachweis in OpenID Connect ... 247
7.4 ... OpenID-Connect-Flows ... 254
7.5 ... Nutzerdaten abrufen: Der UserInfo-Endpoint ... 267
7.6 ... Social Login und Identity-Federation ... 273
7.7 ... Sessions und Authentifizierungsstatus verwalten ... 294
7.8 ... Session-Beendigung und koordinierter Logout ... 309
7.9 ... Fazit ... 323
8. OAuth in Microservice-Architekturen ... 325
8.1 ... Das Problem: Delegation-Chains in Microservices ... 326
8.2 ... Die Lösung: Token-Exchange ... 329
8.3 ... Token-Exchange -- der Standard ... 333
8.4 ... Der On-Behalf-Of-Flow: Impersonation ... 341
8.5 ... Delegation-Flow: Explizite Service-Identifikation ... 347
8.6 ... Token-Translation: Format und Audience ... 358
8.7 ... Praktische Integration und Architektur-Patterns ... 365
8.8 ... Ausblick: Die Zukunft der Service-zu-Service-Authentifizierung ... 371
9. Sicherheit und Bedrohungsmodelle in OAuth 2.0 ... 375
9.1 ... Das Angreifermodell ... 376
9.2 ... Bedrohungen im Authorization-Code-Flow ... 380
9.3 ... Bedrohungen beim Token-Handling ... 396
9.4 ... Schutzmaßnahmen für Refresh-Tokens ... 400
9.5 ... Clientseitige Bedrohungen ... 402
9.6 ... Security Checklist für OAuth-2.0-Implementierungen ... 416
9.7 ... Ausblick ... 419
10. OAuth 2.0 für browserbasierte Anwendungen ... 421
10.1 ... Browserbasierte Anwendungen und OAuth: Die Sicherheitsherausforderung ... 423
10.2 ... Das Backend-for-Frontend-Pattern: Die Lösung für sichere Browseranwendungen ... 432
11. OAuth 2.1 und moderne Sicherheitserweiterungen ... 447
11.1 ... OAuth 2.1: Die Konsolidierung der Best Practices ... 448
11.2 ... Sender-Constrained Tokens: DPoP und mTLS ... 453
11.3 ... Absicherung des Authorization-Requests: PAR und JAR ... 477
11.4 ... Zusammenfassung und Kernbotschaften ... 491
12. Praktische Implementierung von OAuth 2.0 und OIDC ... 493
12.1 ... Authorization-Server im Vergleich ... 495
12.2 ... Voraussetzungen und Setup ... 505
12.3 ... Szenario 1: Authorization-Code-Flow mit PKCE für Browseranwendungen ... 506
12.4 ... Szenario 2: Client-Credentials-Flow für die Service-to-Service-Kommunikation ... 522
12.5 ... Szenario 3: Token-Exchange in Microservice-Architekturen ... 543
12.6 ... Szenario 4: Das Backend-for-Frontend-(BFF-)Pattern ... 564
12.7 ... Production-Readiness: Von der Implementierung zum produktiven Betrieb ... 575
13. Zusammenfassung und Ausblick ... 583
13.1 ... Von der Theorie zur Praxis: Was Sie gelernt haben ... 584
13.2 ... Entscheidungshilfen: Die richtigen Technologien wählen ... 585
13.3 ... Financial-grade API (FAPI): Höchste Sicherheit für kritische Anwendungen ... 588
13.4 ... Zukünftige Entwicklungen: Was kommt nach OAuth 2.1? ... 593
13.5 ... Weiterführende Ressourcen und Communities ... 606
13.6 ... Abschließende Worte ... 614
Index ... 617
