Authentifizierung ist voller Abkürzungen. Wir erklären die wichtigsten Begriffe – verständlich, auf Deutsch und ohne Bullshit-Bingo.
Der aktuelle Industriestandard für Autorisierung. Stell es dir vor wie einen Hotelschlüssel: Er erlaubt dir Zutritt zu bestimmten Zimmern (Scopes), sagt aber nicht zwingend, wer du bist. Version 2.1 konsolidiert Best Practices und entfernt unsichere alte Flows (wie den "Implicit Flow").
Eine Schicht auf OAuth 2.0, die sich um Identität kümmert. Während OAuth sagt "Du darfst rein",
sagt OIDC "Du bist Max Mustermann". Es liefert das id_token, in dem Benutzerdaten stehen.
Tuurio ist ein zertifizierter OIDC Provider.
Sprich: "Pixie"
Ein Sicherheitsmechanismus, der verhindert, dass Auth-Codes abgefangen werden. Die App generiert ein Geheimnis, hasht es und schickt den Hash zum Server. Beim Token-Tausch muss das Original-Geheimnis nachgeliefert werden. Pflicht für Mobile Apps und SPAs.
Multi-Faktor-Authentifizierung. Etwas, das du weißt (Passwort) + Etwas, das du hast (Handy/YubiKey). Tuurio unterstützt TOTP (Authenticator Apps) und WebAuthn.
Ein kompaktes Format, um Daten (Claims) sicher zu übertragen. Ein JWT besteht aus Header, Payload und Signatur. Tuurio signiert Tokens kryptographisch (RSA), sodass dein Backend prüfen kann, ob sie echt sind, ohne die Datenbank zu fragen.
Ein langlebiger Schlüssel, mit dem deine App ein neues Access Token holen kann, ohne dass der User sich neu einloggen muss. Wird sicher verwahrt und kann bei Diebstahl vom Admin (oder User) widerrufen werden ("Revocation").
Das Ende des Passworts. Passkeys nutzen die Biometrie deines Geräts (FaceID, TouchID, Windows Hello), um dich anzumelden. Es werden keine Geheimnisse übertragen, sondern Public-Key-Kryptographie genutzt. Tuurio unterstützt Passkeys "Out of the Box".