Seite 4: Zusammenfassung und Ausblick

Inhaltsverzeichnis

Zusammenfassung und Ausblick

Das Hybrid-Protokoll Step2 ist eine kleine und sinnvolle Erweiterung für OpenID und OAuth, mit dem Ziel, die Schritte für Authentifizierung und Autorisierung zusammenzufassen, sodass der Anwender weniger Bildschirmmasken durchlaufen muss und somit die Benutzerfreundlichkeit der Webanwendung erhöht wird. Sicherlich ist der Einsatzbereich des Protokolls eingeschränkt, da es ausschließlich in einem speziellen Anwendungsfall Verwendung findet.

Die beiden Techniken OpenID und OAuth – und die Kombination beider Verfahren – bringen frischen Wind in das Thema Authentifizierung und Autorisierung im Internet. Ohne sie sind integrierte Webapplikationen, die auf unterschiedliche Services unterschiedlicher Service-Provider zugreifen, nicht realisierbar (sofern man eklatante Sicherheitsrisiken vermeiden oder zumindest keine potenziell teuren Benutzerdaten über einen Anbieter zum nächsten reichen mag). Ebenso wären Erweiterungsmechanismen für Webapplikationen (in Form von Plug-ins für Googles WebApp-Framework) kaum umsetzbar. Hier seien als Beispiel die Google Apps mit ihrem Apps Marketplace genannt. Ohne OpenID und OAuth können die Plug-in-, beziehungsweise Erweiterungsmechanismen der Google Apps nicht funktionieren. (Zum Plug-in-Konzept für die Webanwendungen siehe Inside-Out and Outside-In Integration of Webapps: Services and Extensions)

Mit der Entwicklung von OAuth 2.0 und dem OpenID-Connect-Protokoll, welches inzwischen auf OAuth basieren sollte, lassen sich heute beide Protokolle zusammenführen oder wenigstens die Zusammenarbeit beider Protokolle vereinfachen. Und je einfacher die Protokolle umzusetzen sind, desto mehr Akzeptanz haben sie bei den Entwicklern und umso mehr Anwendungen (Web, Mobil, Desktop) werden sie unterstützen. Die größte Frage ist derzeit, welche Protokolle und Versionen für die Authentifizierung und/oder Autorisierung zu unterstützen und überhaupt zu verwenden sind.

OAuth 2 ist für Autorisierungen definitiv zu bevorzugen. Für Single Sign-On und Authentifizierungen sollte ebenfalls OAuth 2 verwendet werden, ein Ansatz, den Twitter mit Sign-in with Twitter und Facebook mit Facebook Connect ebenfalls gewählt haben. Zukünftig dürfte OpenID-Connect einige Erfolge erzielen, da dieses Protokoll auf OAuth 2 basiert.

Dr. Lofi Dewanto
arbeitet als Softwareentwickler bei der Deutschen Post Com GmbH. Er engagiert sich insbesondere für "javanische" Open-Source-Software sowie MDA.

Dipl.-Wirt. Inform. Manuel Klein
arbeitet als Senior-Berater bei der MT AG in Ratingen. Neben der "klassischen" Programmierung im Java-EE-Bereich beschäftigt er sich mit der Android-Programmierung. (rl)