Was ist OAuth?

OAuth löst ein konkretes Problem: Wie kannst du einer Anwendung Zugriff auf deine Daten bei einem anderen Dienst gewähren, ohne ihr dein Passwort zu geben? Vor OAuth war die Antwort oft, Zugangsdaten direkt weiterzugeben – eine Praxis, die unbegrenzten Zugriff ohne selektive Widerrufsmöglichkeit gewährte. OAuth führt das Konzept der delegierten Autorisierung durch Zugriffstoken mit begrenztem Umfang und begrenzter Laufzeit ein.

Der OAuth 2.0-Ablauf umfasst vier Parteien: den Ressourceninhaber (den Benutzer), den Client (die Drittanwendung), den Autorisierungsserver (der Token ausstellt) und den Ressourcenserver (der die Benutzerdaten hostet). Der Benutzer authentifiziert sich beim Autorisierungsserver, erteilt dem Client spezifische Berechtigungen, und der Client erhält ein Zugriffstoken. Dieses Token wird verwendet, um auf die Benutzerressourcen zuzugreifen, ohne dass der Client jemals das Benutzerpasswort sieht.

OAuth 2.0 definiert mehrere Grant-Typen für unterschiedliche Szenarien: den Authorization Code Flow (für serverseitige Anwendungen), den Authorization Code Flow mit PKCE (für öffentliche Clients wie mobile und Single-Page-Anwendungen), Client Credentials (für die Maschine-zu-Maschine-Kommunikation) und den Device Code Flow (für Geräte mit eingeschränkter Eingabe). Das Framework erweitert sich mit OpenID Connect (OIDC), das eine standardisierte Identitätsschicht für Authentifizierung auf Basis von OAuths Autorisierungsfähigkeiten hinzufügt.

Wie Vaulted OAuth verwendet

Vaulted implementiert OAuth nicht, da es keine Benutzerkonten, keine Drittanbieter-Integrationen und keinen Bedarf an delegierter Autorisierung hat. OAuth-Token sind jedoch eine häufige Art sensibler Zugangsdaten, die sicher geteilt werden müssen – zum Beispiel das Client-Secret eines Service-Accounts mit einem Deployment-Team. Vaulted bietet einen sicheren Kanal, um solche Token zu übermitteln, ohne sie in Slack-Nachrichten, E-Mails oder Ticket-Systemen zu exponieren, wo sie auf unbestimmte Zeit bestehen blieben.