Algolia

    Authorization Code Grant Type in OAuth 2.0

    Der Authorization Code Grant Type ist einer der am haeufigsten verwendeten OAuth 2.0 Grant-Typen. Er ist speziell fuer Anwendungen konzipiert, die ihr Client-Secret vertraulich verwalten koennen, was ihn ideal fuer serverseitige Anwendungen macht.

    Authorization Code Grant Type in LoadFocus

    Wie funktioniert der Authorization Code?

    1. Umleitung:
    • Die Client-Anwendung leitet den Benutzer zum Autorisierungsendpunkt des OAuth 2.0-Autorisierungsservers weiter. Diese Umleitung enthaelt typischerweise Query-Parameter wie die client_id, response_type (auf "code" gesetzt), redirect_uri (wohin der Autorisierungsserver den Benutzer nach der Genehmigung/Ablehnung sendet) und scope (der die Zugriffsebene angibt, die die Anwendung anfordert).
    1. Benutzerauthentifizierung:
    • Der Benutzer meldet sich beim Autorisierungsserver an (falls noch nicht angemeldet) und prueft die Zugriffsanfrage der Client-Anwendung.
    1. Ausgabe des Authorization Codes:
    • Wenn der Benutzer die Genehmigung erteilt, wird er ueber die zuvor angegebene redirect_uri zur Client-Anwendung zurueckgeleitet. Die Umleitung enthaelt auch einen Authorization Code in der URL.
    1. Token-Austausch:
    • Die Client-Anwendung tauscht den Authorization Code gegen ein Access Token aus, indem sie eine POST-Anfrage an den Token-Endpunkt des Autorisierungsservers sendet. Diese Anfrage enthaelt den Authorization Code, client_id, client_secret, redirect_uri und grant_type (auf "authorization_code" gesetzt).
    1. Ausgabe des Access Tokens:
    • Wenn der Autorisierungsserver den bereitgestellten Code und die Client-Anmeldedaten erfolgreich verifiziert, gibt er ein Access Token (und optional ein Refresh Token) an die Client-Anwendung zurueck.
    1. Zugriff auf geschuetzte Ressource:
    • Die Client-Anwendung verwendet das erhaltene Access Token, um Anfragen an den Ressourcenserver (API) im Namen des Benutzers zu stellen.

    Wie konfiguriert man den Authorization Code?

    1. Anwendung registrieren:
    • Registrieren Sie vor dem Start des OAuth-Flows Ihre Anwendung beim OAuth 2.0-Anbieter. Nach erfolgreicher Registrierung erhalten Sie eine client_id und ein client_secret.
    1. Redirect URI einrichten:
    • Bei der Registrierung Ihrer Anwendung werden Sie oft aufgefordert, eine redirect_uri anzugeben. Diese URI ist der Ort, an den der Autorisierungsserver die Benutzer nach der Genehmigung/Ablehnung des Zugriffs sendet. Stellen Sie sicher, dass diese URI korrekt und sicher ist (typischerweise mit HTTPS).
    1. OAuth-Flow implementieren:
    • Verwenden Sie eine Bibliothek oder ein SDK, das mit der Sprache und dem Framework Ihrer Anwendung kompatibel ist, um diesen Prozess zu vereinfachen.
    • Beginnen Sie den Flow, indem Sie Benutzer zum Autorisierungsendpunkt des Autorisierungsservers mit den notwendigen Query-Parametern weiterleiten.
    • Implementieren Sie einen Endpunkt auf Ihrem Server, der der registrierten redirect_uri entspricht. Dieser Endpunkt verarbeitet den eingehenden Authorization Code.
    • Tauschen Sie den Authorization Code gegen ein Access Token aus, indem Sie eine POST-Anfrage an den Token-Endpunkt senden.
    1. Client Secret sichern:
    • Legen Sie Ihr client_secret niemals in clientseitigem Code offen. Verwenden Sie es nur serverseitig beim Austausch des Authorization Codes gegen ein Access Token.
    1. Token-Speicherung:
    • Sobald Sie ein Access Token haben, speichern Sie es sicher. Je nach den Anforderungen Ihrer Anwendung kann dies im Serverspeicher, einer Datenbank oder einem sicheren Cookie sein. Verwenden Sie immer HTTPS, um eine verschluesselte Kommunikation sicherzustellen.
    1. Token-Ablauf behandeln:
    • Access Tokens sind oft kurzlebig. Wenn Sie ein Refresh Token haben, verwenden Sie es, um ein neues Access Token zu erhalten, ohne dass sich der Benutzer erneut authentifizieren muss.

    Abschliessende Gedanken zum Authorization Code

    Der Authorization Code Grant Type ist eine robuste und sichere Methode zur Erlangung der Benutzerautorisierung, insbesondere fuer serverseitige Anwendungen. Der zusaetzliche Schritt des Austauschs eines Authorization Codes gegen ein Access Token stellt sicher, dass ein direkter Zugriff auf Benutzeranmeldedaten vermieden wird. Priorisieren Sie bei der Implementierung immer die Sicherheit, indem Sie HTTPS verwenden und Client-Secrets und Tokens sicher verwalten.

    Zurück
    So pruefen Sie Lasttestergebnisse
    Weiter
    Baseline-Vergleich zwischen Lasttests