OAuth en OpenID Connect
OAuth 2.0 is een autorisatieframework waarmee een applicatie namens een gebruiker beperkte toegang kan krijgen tot een andere dienst, zonder dat de gebruiker zijn wachtwoord hoeft te delen. OpenID Connect (OIDC) bouwt hierop voort en voegt authenticatie toe.
Verschil
| OAuth 2.0 | OpenID Connect |
|---|
| Doel | Autorisatie (toegang verlenen) | Authenticatie (identiteit bewijzen) |
| Resultaat | Access token | ID token + Access token |
| Voorbeeld | App mag je agenda lezen | Inloggen met Google |
Hoe OAuth werkt
- Gebruiker klikt op "Inloggen met Google"
- Browser gaat naar Google voor toestemming
- Gebruiker geeft toestemming
- Google geeft een autorisatiecode terug
- Applicatie wisselt de code in voor een access token
- Applicatie gebruikt het token om de API aan te roepen
Tokens
- Access token — tijdelijke sleutel voor API-toegang
- Refresh token — ophalen van een nieuw access token zonder opnieuw inloggen
- ID token — bevat informatie over de gebruiker (OIDC)
Zie ook
- jwt — formaat van OAuth-tokens
- tls — OAuth vereist HTTPS
- api — OAuth beveiligt toegang tot API's