Authentifizierung ist voller Abkürzungen. Wir erklaeren die wichtigsten Begriffe verstaendlich und praxisnah.
Der aktuelle Industriestandard für Autorisierung. Stell es dir wie einen Hotelschlüssel vor: Er erlaubt Zugriff auf bestimmte Zimmer (Scopes), sagt aber nicht zwingend, wer du bist. Version 2.1 konsolidiert Best Practices und entfernt unsichere alte Flows (z. B. Implicit Flow).
Eine Schicht auf OAuth 2.0, die sich um Identität kümmert. Während OAuth sagt "Du darfst rein", sagt OIDC "dieser Login-Account wurde authentifiziert". Es liefert das id_token mit Benutzerdaten. Tuurio tritt als standardkonformer OIDC-Provider auf.
Sprich: "Pixie"
Ein Sicherheitsmechanismus, der verhindert, dass abgefangene Auth-Codes missbraucht werden. Die App erzeugt ein Geheimnis, hasht es und sendet zuerst nur den Hash. Beim Token-Tausch muss das Original-Geheimnis nachgeliefert werden. Pflicht für Mobile Apps und SPAs.
Multi-Faktor-Authentifizierung: etwas, das du weisst (Passwort), plus etwas, das du hast (Handy oder Security Key). Tuurio unterstützt TOTP-Authenticator-Apps und WebAuthn.
Ein kompaktes Format, um Claims sicher zu übertragen. Ein JWT besteht aus Header, Payload und Signatur. Tuurio signiert Tokens kryptografisch, damit dein Backend die Echtheit ohne Datenbank-Request prüfen kann.
Ein langlebiger Schlüssel, mit dem deine App neue Access Tokens beziehen kann, ohne erneuten Login. Muss sicher gespeichert werden und kann bei Diebstahl von Admin oder User widerrufen werden.
Das Ende des Passworts. Passkeys nutzen Geräte-Biometrie (FaceID, TouchID, Windows Hello) und Public-Key-Kryptografie. Es wird kein gemeinsames Geheimnis übertragen. Tuurio unterstützt Passkeys out of the box.