Teilen 1 Twittern 0
von , 30.01.2009

OpenID und OAuth verschmelzen: Mehr Sicherheit und Komfort fürs Social Web

Ein Hybrid-Protokoll aus einer Verschmelzung von OpenID und OAuth soll künftig für mehr Sicherheit und Komfort beim Einloggen und beim Transfer von Nutzerdaten im Web 2.0 sorgen. Die Nutzer müssen sich nur einmal anmelden und den Zugriff auf die externen Daten erlauben und schon stehen beispielsweise Kontaktdaten von einer anderen Website zur Verfügung.
Google hat ein neues Hybrid-Protokoll veröffentlicht, indem der Single-Sign-On-Standard OpenID mit dem offenen Autorisierungsprotokoll OAuth verbunden wird. Nutzer können sich damit auf OpenID-unterstützenden Webseiten mit ihrem Google-Account anmelden und die Websites können via OAuth Nutzerdaten mit Erlaubnis der Nutzer abfragen.

Wie funktioniert das genau?

Eine erste Umsetzung des "OpenID OAuth Extension" genannten Protokolls zeigt die Möglichkeiten in der Praxis. Das Social-Network-Adressbuch Plaxo testet zur Zeit in einer geschlossenen Beta die Verbindung von OpenID und OAuth. Nach einer Anmeldung mit OpenID im Google-Account, wird der Nutzer via OAuth dazu aufgefordert, den Zugriff auf die Google Contacts APi zu erlauben. Nach einer Bestätigung werden die dort gespeicherten Daten in das Nutzerprofil von Plaxo importiert, wo sie dem Nutzer von nun an immer zur Verfügung stehen.

Und warum braucht man das?

Im Zeitalter der Social Networks werden die Nutzer permanent dazu aufgefordert, sich mit Benutzernamen und Passwort anzumelden. Das allein ist schon ein erheblicher und manchmal auch störender Aufwand. Will man die Sicherheit wahren, so muss man sich bei jeder Website eine neue sichere Kombination ausdenken und vor allem auch merken. Soll man dann noch persönliche Daten in einem Profil hinterlegen, wird die Sache für viele Nutzer zum zeitaufwendigen Ärgernis.

Die "OpenID OAuth Extension" könnte hier ein Schritt in die richtige Richtung sein. Das Stichwort heißt: "Digitale Identität". Die Nutzer bekämen so die Möglichkeit ihre persönlichen Daten schnell und einfach von einer anderen Seite zu übernehmen. OpenID sorgt dabei für die Anmeldung und OAuth erlaubt den Zugriff auf die Seite..

Fazit

Facebook Connect hat es vorgemacht, Google und Plaxo zeigen wie sie noch offener und dabei trotzdem sicher gestaltet werden kann: Die "Digitale Identität". In ein paar Jahren werden wir uns vermutlich verwundert die Augen reiben, wenn uns zufällig ein alter Bericht aus der Zeit vor der Einführung der Digitalen Identität in die Hände fällt. Die Kombination aus Sicherheit und Komfort ist das, was die Nutzer verlangen. Sie werden es sicher bekommen. Ob nun als "OpenID OAuth Extension" oder als etwas was heute noch nicht entwickelt ist.

Schau dir doch unsere Neusten Artikel und News an.

Kommentare: 3 Tweets: 0 Facebook-Likes: 1
30.01.2009

Empfohlene Artikel

3 Antworten

  1. von Carsten Pötter 30.01.2009 (14:46Uhr) 1.

    Guter Artikel :)

    Zwei kleine Berichtigungen habe ich aber noch:
    1) OAuth authentifiziert nicht; das macht OpenID. Vielmehr ist OAuth für die Autorisierung zuständig, d.h. einer dritten Partei wird Zugriff auf weitere Daten erlaubt. Blöde Begriffe, ich weiß.

    2) Mit der OpenID/OAuth Extension wird man die persönlichen Daten wie Adressbücher nicht von einer Seite zur nächsten mitnehmen können. Wenn ich Seite A den Zugriff auf mein Adressbuch bei Seite X erlaubt habe, kann ich es nicht mit zu Seite B nehmen. Seite B muss ich den Zugriff auf das Adressbuch bei Seite X extra erlauben.

  2. von Falk Hedemann 02.02.2009 (14:37Uhr) 2.

    Vielen Dank für die Berichtigungen. Ich habe den Artikel an den entsprechenden Stellen geändert.

  3. von Identity: OpenID Connect – Vision eine… 17.05.2010 (13:12Uhr) 3.

    [...] zu implementieren sein und auch für Desktop-Anwendungen einsetzbar werden. Ähnlich wie bei Googles OpenID/OAuth-Hybrid-Umsetzung, bei der Recordon mitgewirkt hat, sollen die Informationen der Nutzer über eine JSON-API abgefragt [...]

Deine Meinung


(wird nicht veröffentlicht)