Wer hat Zugang Wie Web Identitaet ueber Macht entscheidet

Wie Authentifizierung und Autorisierung bestimmen wer im Netz darf und wie moderne Techniken diese Balance verschieben.

---

Ein Klick auf Anmelden kann so harmlos wirken wie ein Haustüröffner und doch die Tür zu allem sein was ein Nutzer besitzt.

Warum Identitaet heute zählt

Identität ist längst keine Nebenfrage mehr sondern die neue Perimetersicherung des Internets weil Cloud, APIs und mobile Arbeit Benutzeridentitäten ins Zentrum rücken und Angreifer genau dort ansetzen.

Was wirklich unterschieden werden muss

Authentifizierung beantwortet wer du bist und Autorisierung was du darfst; typische Protokolle sind OAuth2 zur Rechtevergabe und OpenID Connect zur Identitätsvermittlung wobei JWTs oft als strukturierte Tokens genutzt werden und dabei nur signiert sind, nicht automatisch vertraulich.

Technik in der Praxis

In Webanwendungen liegt die Gefahr in der Speicherung und Lebensdauer von Tokens: Access Tokens kurz, Refresh Tokens geschützt und Rotation plus Revoke sind nötig; bei SPAs sollte der Authorization Code mit PKCE verwendet werden, Cookies mit SameSite und HttpOnly können gegen XSS und CSRF helfen und WebAuthn bietet phishingresistente, passwortlose Anmeldungen durch asymmetrische Kryptographie.

Die Fintech Lektion

Ein mittelgroßes Finanzunternehmen verlor Kundensessions weil ein Access Token in localStorage landete; die Lösung bestand aus kurzen Access Tokens, refresh token rotation, Session-Halterung auf dem Server und verpflichtender zweiter Faktor Authentifizierung.

Der Entwickler, der Passwörter abschaffte

Ein Team implementierte WebAuthn für ein internes Tool und koppelte es an den Unternehmens-SSO; die Zahl der Passwortzurücksetzungen sank deutlich und die Onboardingzeit für neue Mitarbeiter halbierte sich.

Risiken Chancen und Machtfragen

Zentralisierte Identity Provider vereinfachen das Onboarding und erhöhen Risiko und Abhängigkeit zugleich, Datenschutzfragen bleiben offen, aber die Chance besteht in breiter Einführung phishingresistenter Verfahren und standardisierter Tokenverwaltung die Sicherheit und Nutzerfreundlichkeit verbessern.

Handeln für Architekten und Entwickler

Lösungsarchitekten und Entwickler müssen Designentscheidungen treffen die Sicherheit, Skalierbarkeit und Nutzererlebnis ausbalancieren; klare Tokenlifecycles, Protokollwahl, Monitoring und automatisches Rotieren von Geheimnissen sind Aufgaben die Teams heute priorisieren sollten.

Connect with Andreas Hernitscheck Solution & Software Architect

Authentifizierung Autorisierung Web-Sicherheit OAuth2 WebAuthn