Gå tillbaka

OAuth / OpenID Connect

Vad är OAuth och OpenID Connect?

OAuth 2.0 och OpenID Connect (OIDC) är två relaterade men distinkta standardprotokoll som spelar en central roll i modern webb- och applikationssäkerhet.

  • OAuth 2.0 (Open Authorization): Är ett ramverk för auktorisering. Det tillåter en tredjepartsapplikation (klient) att få begränsad åtkomst till en användares resurser på en annan tjänst (resursserver, t.ex. Google Drive, Facebook-foton) utan att klienten behöver hantera användarens lösenord direkt. Användaren godkänner åtkomsten.
  • OpenID Connect (OIDC): Är ett identitetslager byggt ovanpå OAuth 2.0. Det fokuserar på autentisering – att verifiera en användares identitet. OIDC tillåter klientapplikationer att få information om den inloggade användaren (t.ex. namn, e-post) från en identitetsleverantör (Identity Provider, IdP).

Hur OAuth och OpenID Connect säkrar åtkomst

Dessa protokoll möjliggör säkrare och mer användarvänliga interaktioner:

  • Delegerad åtkomst (OAuth 2.0): Användare kan ge specifika tillstånd (scopes) till appar (t.ex. "läs mina kontakter" men inte "radera mina kontakter") utan att dela sitt huvudlösenord. Åtkomsten sker via access tokens med begränsad livslängd.
  • Standardiserad identitetsverifiering (OIDC): Ger ett standardiserat sätt för appar att verifiera användaridentitet och få grundläggande profilinformation, vilket underlättar "Logga in med [Google/Facebook/etc.]"-funktionalitet.
  • Minskad risk för lösenordsläckor: Applikationer behöver inte lagra användarnas lösenord till externa tjänster.
  • Single Sign-On (SSO) möjligheter: OIDC kan användas för att implementera SSO, där en användare loggar in en gång hos en identitetsleverantör och sedan får åtkomst till flera anslutna applikationer.

Skillnaden mellan autentisering och auktorisering med OAuth/OIDC

Det är viktigt att skilja på dessa två begrepp:

  1. Autentisering (Vem är du?): Processen att verifiera en användares identitet. OpenID Connect hanterar detta.
  2. Auktorisering (Vad får du göra?): Processen att bestämma vilka resurser och åtgärder en autentiserad användare har tillåtelse att komma åt. OAuth 2.0 hanterar detta.

OIDC använder OAuth 2.0 för sina auktoriseringsflöden men lägger till ett ID-token som innehåller information om den autentiserade användaren.

Användningen av OAuth/OIDC i moderna applikationer

Dessa protokoll är allestädes närvarande i dagens digitala landskap:

  • Sociala Inloggningar: När du loggar in på en webbplats med ditt Google-, Facebook- eller Apple-konto.
  • API-säkerhet: Skydda åtkomst till API:er så att endast auktoriserade klientapplikationer kan använda dem.
  • Mobilapplikationer: Tillåta mobilappar att komma åt användardata från molntjänster på ett säkert sätt.
  • Företagsapplikationer: Hantera åtkomst till interna system och tjänster.

OAuth/OpenID Connect: Standarder för säker inloggning och API-åtkomst

Genom att tillhandahålla robusta och standardiserade ramverk för auktorisering och autentisering har OAuth 2.0 och OpenID Connect blivit grundläggande byggstenar för att skapa säkra och användarvänliga digitala tjänster. De minskar komplexiteten för utvecklare och ökar säkerheten för användarna.