Seite 3: Fazit

Inhaltsverzeichnis

Aus Sicht der Autoren bringt OAuth 2.0 in diversen Aspekten eine Verbesserung mit sich. Die bei der Deutschen Telekom gesammelten Erfahrungen zeigen, dass OAuth 2.0 durch eine gute Balance zwischen Einfachheit, Skalierbarkeit und Sicherheit gekennzeichnet ist.

Die Integration ist im Vergleich zu OAuth 1.0a deutlich einfacher geworden. Gerade die Verwendung digitaler Signaturen auf Protokollebene hat den Integrationspartnern immer wieder Probleme bereitet. Digitale Signaturen bieten aber nur in Einzelfällen einen Sicherheitsgewinn, wenn man das Protokoll über Ende zu Ende terminiertes TLS (Transport Layer Security) betreibt.

Um sicherzustellen, dass trotz des Verzichts auf digitale Signaturen das OAuth-2.0-Protokoll ein angemessenes Sicherheitsniveau erreicht, hat die OAuth-Arbeitsgruppe bei der IETF eine umfangreiche Gefahrenanalyse durchgeführt und dokumentiert. Des Weiteren durchlief das Protokoll Reviews in der Arbeitsgruppe, bei den Sicherheitsteams der beteiligten Unternehmen und im Rahmen des IETF-weiten Freigabeprozesses. Die Ergebnisse flossen in das Protokolldesign beziehungsweise in die Security Considerations der Spezifikationen ein und sind von allen Implementierungen zu beachten.

Aus architektonischer Sicht hat die Trennung zwischen Token-Ausstellung und -Verwendung erhebliches Potenzial. Es wird hiermit möglich, dieselbe Schnittstelle (oder API) für Zugriffe von unterschiedlichsten Geräten aus und in verschiedenen Geschäftsmodellen zu verwenden. Die Spezifikationen für den Kern von OAuth 2.0 wurden im Oktober 2012 als RFCs (Request for Comments) veröffentlicht. Frühere Draft-Versionen werden seit längerer Zeit eingesetzt. Das hat zum einen zur Reife des Protokolls beigetragen. Zum anderen ist das Protokoll im Kern seit 2011 stabil, danach wurden nur noch kleine Änderungen vorgenommen und die Beschreibung des Protokolls präzisiert sowie die Sicherheitsüberlegungen ergänzt.

OAuth ist im Markt angekommen, jetzt muss man Erfahrungen sammeln und es sukzessive weiterentwickeln. Das langfristige Ziel der IETF ist es, dass OAuth das Standard-Autorisierungsprotokoll für HTTP-Protokolle wird und damit die Basic Authentifizierung zumindest ergänzt, wenn nicht gar ersetzt. Eine Verwendung zur Absicherung anderer Protokolle wie IMAPist ebenfalls in Arbeit. Kurzfristig wird der Schwerpunkt auf der Verbesserung der Interoperabilität zwischen unterschiedlichen Implementierungen liegen. Dazu wird an weiteren, ergänzenden RFCs, zum Beispiel für die dynamische Registrierung von Clients und das Format JSON Web Token (JWT) gearbeitet.

Daneben besteht großer Bedarf für die Entwicklung eines tragfähigen Ansatzes im Bereich des Identity Providing. Denn obwohl OAuth heute beim Login auf Webseiten zum Einsatz kommt, ist zu konstatieren, dass es hierfür nicht gedacht und daher auch ungeeignet ist. Stattdessen arbeitet eine Arbeitsgruppe bei der OpenID Foundation an einem OAuth-basierten Nachfolger von OpenID 2.0, genannt OpenID Connect. Entwickler werden davon profitieren, dass sich in der Kombination von OAuth und OpenID Connect sowohl das Login als auch der Zugriff auf geschützte Ressourcen mit demselben Basisprotokoll, OAuth, durchführen lassen.

Dr. Torsten Lodderstedt
ist Product Owner für Identitäts-Management bei der Deutschen Telekom und verantwortet die Entwicklung von Enablern für das Login in diverse Endkundenprodukte. Er ist an der Spezifikation von OpenID Connect und OAuth beteiligt. Seine Schwerpunkte sind hierbei Architektur, mobile Apps und Sicherheit.

Jochen Hiller
arbeitet als Developer Evangelist bei der Deutschen Telekom. Er hat als Systemarchitekt die IDM-Plattform für Privatkunden verantwortet. Derzeit ist er Product Owner für das SDK einer Plattform für das intelligente Haus.

Literatur

• Paul Sevinç; Auftragsarbeit; OAuth – sichere Benutzung von Web-APIs; iX 7/2009, S. 118
• Lofi Dewanto; Herr Müller, sind Sie's? Autorisierungsdienste mit OAuth; Artikel auf heise Developer

(ane)