Zeit für OAuth 2.1 – Authorization Best Practices als neuer Standard

Implementierst du OAuth noch nach einem Spec von 2012? Dann ist deine Anwendung vermutlich unsicher! OAuth 2.0 hat sich in 13 Jahren durch ein Labyrinth von RFCs und Best Practices entwickelt – Implicit Flow ist deprecated, PKCE ist Pflicht, Password Grant ein No-Go. Aber wer weiß das schon alles?

OAuth 2.1 räumt endlich auf: Ein Draft, der alle modernen Security Best Practices vereint und unsichere Flows eliminiert. Klingt perfekt? Ist es auch! Nur leider wendet ihn fast niemand an.

In diesem Talk zeigt Martina Kraus, warum OAuth 2.1 deine OAuth-Implementierung von Grund auf sicherer macht, welche Breaking Changes auf dich warten und wie du schon heute damit arbeiten kannst.

Vorkenntnisse

• Verständnis von Frontend Applikationen
  
• Verständnis von HTTP, REST APIs
  
• Idealerweise praktische Erfahrung mit der Implementierung oder Nutzung von OAuth in Anwendungen
  

Lernziele

Nach diesem Talk verstehst du die wesentlichen Unterschiede zwischen OAuth 2.0 und OAuth 2.1 und kannst einschätzen, welche Auswirkungen diese auf deine bestehenden Implementierungen haben. Du lernst, warum Grants entfernt wurden, weshalb PKCE für alle Client-Typen verpflichtend wird und wie du Refresh Tokens richtig absichern. Du erhältst konkrete Handlungsempfehlungen, für die Migration auf OAuth 2.1.