Authentifizierung ist voller Abkuerzungen. Wir erklaeren die wichtigsten Begriffe verstaendlich und praxisnah.
Der aktuelle Industriestandard fuer Autorisierung. Stell es dir wie einen Hotelschluessel vor: Er erlaubt Zugriff auf bestimmte Zimmer (Scopes), sagt aber nicht zwingend, wer du bist. Version 2.1 konsolidiert Best Practices und entfernt unsichere alte Flows (z. B. Implicit Flow).
Eine Schicht auf OAuth 2.0, die sich um Identität kümmert. Während OAuth sagt "Du darfst rein", sagt OIDC "dieser Login-Account wurde authentifiziert". Es liefert das id_token mit Benutzerdaten. Tuurio tritt als standardkonformer OIDC-Provider auf.
Sprich: "Pixie"
Ein Sicherheitsmechanismus, der verhindert, dass abgefangene Auth-Codes missbraucht werden. Die App erzeugt ein Geheimnis, hasht es und sendet zuerst nur den Hash. Beim Token-Tausch muss das Original-Geheimnis nachgeliefert werden. Pflicht fuer Mobile Apps und SPAs.
Multi-Faktor-Authentifizierung: etwas, das du weisst (Passwort), plus etwas, das du hast (Handy oder Security Key). Tuurio unterstuetzt TOTP-Authenticator-Apps und WebAuthn.
Ein kompaktes Format, um Claims sicher zu uebertragen. Ein JWT besteht aus Header, Payload und Signatur. Tuurio signiert Tokens kryptografisch, damit dein Backend die Echtheit ohne Datenbank-Request pruefen kann.
Ein langlebiger Schluessel, mit dem deine App neue Access Tokens beziehen kann, ohne erneuten Login. Muss sicher gespeichert werden und kann bei Diebstahl von Admin oder User widerrufen werden.
Das Ende des Passworts. Passkeys nutzen Geraete-Biometrie (FaceID, TouchID, Windows Hello) und Public-Key-Kryptografie. Es wird kein gemeinsames Geheimnis uebertragen. Tuurio unterstuetzt Passkeys out of the box.