OpenID Connect: Ein Entwicklerhandbuch zur Benutzeridentität

In der heutigen vernetzten digitalen Landschaft ist die sichere Verwaltung der Benutzeridentität von größter Bedeutung. Während OAuth 2.0 bei der Autorisierung – der Gewährung von Anwendungen des Zugriffs auf Ressourcen im Namen eines Benutzers – hervorragend ist, liefert es nicht von sich aus Informationen über den Benutzer. Hier kommt OpenID Connect (OIDC) ins Spiel. OIDC ist eine Identitätsschicht, die auf OAuth 2.0 aufbaut und eine standardisierte Methode zur Überprüfung der Benutzeridentität und zum Abrufen grundlegender Profilinformationen bietet. Dieser Leitfaden befasst sich mit den Kernkonzepten von OpenID Connect, seinen Vorteilen und praktischen Implementierungsüberlegungen für Entwickler.

Wichtige Erkenntnisse

OIDC baut auf OAuth 2.0 auf: OIDC nutzt das OAuth 2.0-Framework für Authentifizierung und Autorisierung und fügt eine Identitätsschicht hinzu.

Identity Tokens (ID Tokens): JWT-basierte ID Tokens übertragen sicher verifizierte Benutzeridentitätsdaten.

Claims: OIDC verwendet 'Claims', um Teile von Benutzerinformationen darzustellen, die für die Interoperabilität standardisiert sind.

Standardisierte Flows: OIDC definiert mehrere Flows für verschiedene Anwendungstypen (Web, Mobil, Native), um die Integration zu optimieren.

Was ist OpenID Connect?

OpenID Connect (OIDC) ist eine Authentifizierungsschicht auf dem OAuth 2.0-Autorisierungsframework. Es bietet eine standardisierte Methode für Anwendungen, um die Identität eines Endbenutzers basierend auf der Authentifizierung zu überprüfen, die von einem Authorization Server durchgeführt wird. Entscheidend ist, dass OIDC das Konzept des ID Tokens einführt, ein JSON Web Token (JWT), das Claims über den authentifizierten Benutzer enthält. Diese Claims liefern wichtige Identitätsdaten, wie z. B. den Namen, die E-Mail-Adresse und das Profilbild des Benutzers. Im Gegensatz zu OAuth 2.0-Access Tokens, die den Zugriff auf Ressourcen gewähren, sind ID Tokens speziell für die Bestätigung der Benutzeridentität konzipiert.

Betrachten Sie OAuth 2.0 als den Schlüssel zum Öffnen einer Tür (Zugriff auf Ressourcen) und OIDC als eine Auszeichnung, die beweist, wer Sie sind, bevor Ihnen der Schlüssel gegeben wird. Ohne OIDC weiß die Anwendung nur, dass ein Benutzer autorisiert ist; mit OIDC weiß sie wer der Benutzer ist.

Claims in OIDC verstehen

Claims sind die grundlegenden Bausteine von Identitätsdaten in OIDC. Sie sind Aussagen über den Benutzer, wie z. B. seinen Namen, seine E-Mail oder seine Adresse. OIDC definiert eine Reihe von Standard-Claims, um die Interoperabilität zwischen verschiedenen Identity Providern (IdPs) und Anwendungen zu gewährleisten. Häufig verwendete Claims sind:

• sub: Subject Identifier – eine eindeutige ID für den Benutzer.
• name: Vollständiger Name des Benutzers.
• given_name: Vorname des Benutzers.
• family_name: Nachname des Benutzers.
• email: E-Mail-Adresse des Benutzers.
• picture: URL des Profilbilds des Benutzers.
• aud: Audience – die Client-ID der Anwendung, die das ID Token empfängt.
• iss: Issuer – die URL des Authorization Servers, der das ID Token ausgestellt hat.
• exp: Ablaufzeit – der Zeitstempel, nach dem das ID Token ungültig ist.

Anwendungen können während des Authentifizierungsprozesses bestimmte Claims anfordern. Der IdP wird dann nur die angeforderten Claims in das ID Token aufnehmen und so die Menge der geteilten Informationen minimieren. Benutzerdefinierte Claims können ebenfalls definiert werden, aber standardisierte Claims werden für maximale Kompatibilität dringend empfohlen.

OIDC Flows: Authorization Code Flow mit PKCE

OIDC unterstützt verschiedene Flows, die jeweils auf verschiedene Anwendungstypen zugeschnitten sind. Der gebräuchlichste und empfohlene Flow für moderne Webanwendungen ist der Authorization Code Flow mit Proof Key for Code Exchange (PKCE). Dieser Flow bietet einen verbesserten Schutz gegen Angriffe durch Abfangen von Autorisierungscodes.

Hier ist ein vereinfachter Überblick:

1. Die Anwendung generiert einen Code Verifier und eine Code Challenge.
2. Die Anwendung leitet den Benutzer mit der Code Challenge an den Authorization Server weiter.
3. Der Benutzer authentifiziert sich beim Authorization Server.
4. Der Authorization Server leitet den Benutzer mit einem Autorisierungscode zurück zur Anwendung.
5. Die Anwendung tauscht den Autorisierungscode und den Code Verifier gegen ein ID Token und ein Access Token.
6. Die Anwendung validiert das ID Token und verwendet die Claims, um den Benutzer zu identifizieren.

OIDC-Integration mit Didit

Didit vereinfacht die OIDC-Integration mit einer umfassenden Plattform und entwicklerfreundlichen APIs. Unsere Plattform übernimmt die Komplexität von OIDC, sodass Sie sich auf den Aufbau Ihrer Anwendung konzentrieren können. Zu den wichtigsten Funktionen gehören:

• Vorgefertigte OIDC-Connectors: Nahtlose Integration mit beliebten Identity Providern wie Google, Facebook und Microsoft.
• Anpassbare Claims: Anfordern Sie spezifische Claims, die auf die Bedürfnisse Ihrer Anwendung zugeschnitten sind.
• Sichere Token-Validierung: Automatisierte Validierung von ID Tokens, um die Authentizität zu gewährleisten.
• Workflow-Orchestrierung: Erstellen Sie benutzerdefinierte Identitätsflüsse, die die OIDC-Authentifizierung beinhalten.

Mit Didit können Entwickler die OIDC-Authentifizierung in ihren Anwendungen schnell und sicher implementieren, die Entwicklungszeit verkürzen und die Sicherheit verbessern.

Wie Didit hilft

Didit bietet eine Full-Stack-Identitätsplattform, die die Komplexität von OpenID Connect vereinfacht. Wir übernehmen die schwere Arbeit der OIDC-Implementierung, sodass Entwickler:

• Entwicklungszeit reduzieren: Vorgefertigte Connectors und intuitive APIs beschleunigen die Integration.
• Sicherheit erhöhen: Sichere Token-Validierung und PKCE-Unterstützung schützen vor gängigen Angriffen.
• Benutzererlebnis verbessern: Nahtlose Authentifizierungsabläufe minimieren die Reibung für Benutzer.
• Zuversichtlich skalieren: Die Plattform von Didit ist für die Verarbeitung großer Mengen an Authentifizierungsanfragen ausgelegt.

Bereit zum Starten?

Sind Sie bereit, die Leistungsfähigkeit von OpenID Connect zu nutzen und den Authentifizierungsprozess Ihrer Anwendung zu optimieren?

Registrieren Sie sich für ein kostenloses Didit-Konto und erkunden Sie unsere umfassende Dokumentation unter Didit Docs. Beginnen Sie noch heute mit dem Aufbau sicherer und skalierbarer Anwendungen!

FAQ

Was ist der Unterschied zwischen OAuth 2.0 und OpenID Connect?

OAuth 2.0 ist ein Autorisierungsframework, das Anwendungen den Zugriff auf Ressourcen im Namen eines Benutzers ermöglicht. OpenID Connect ist eine Identitätsschicht, die auf OAuth 2.0 aufbaut und eine standardisierte Möglichkeit zur Überprüfung der Benutzeridentität und zum Abrufen von Identitätsdaten bietet.

Was ist ein ID Token?

Ein ID Token ist ein JSON Web Token (JWT), das Claims über den authentifizierten Benutzer enthält. Es wird vom Authorization Server nach erfolgreicher Authentifizierung ausgestellt und von der Anwendung verwendet, um den Benutzer zu identifizieren.

Was sind Claims in OIDC?

Claims sind Aussagen über den Benutzer, wie z. B. seinen Namen, seine E-Mail-Adresse und sein Profilbild. OIDC definiert eine Reihe von Standard-Claims, um die Interoperabilität zwischen verschiedenen Identity Providern und Anwendungen zu gewährleisten.

Ist OIDC sicher?

Ja, OIDC ist ein sicheres Protokoll, wenn es korrekt implementiert wird. Der Authorization Code Flow mit PKCE ist der empfohlene Flow für moderne Webanwendungen, da er einen verbesserten Schutz gegen Angriffe durch Abfangen von Autorisierungscodes bietet. Die Verwendung eines vertrauenswürdigen Identity Providers und die Validierung des ID-Tokens sind entscheidend für die Sicherheit.