OAuth einfach erklärt: So funktioniert sicherer Login

von | 14.07.2026 | Digital

Was ist OAuth? Die einfache Definition

OAuth (Open Authorization) ist ein offener Standard, der es euch ermöglicht, Apps und Diensten Zugriff auf eure Daten zu gewähren, ohne dabei euer Passwort preiszugeben. Statt eure Login-Daten weiterzugeben, erteilt ihr eine zeitlich begrenzte Zugriffserlaubnis für bestimmte Informationen.

Ihr kennt das vom Alltag: Wenn ihr euch bei einem neuen Dienst mit eurem Google-Account anmeldet, kommt OAuth 2.0 in Kombination mit OpenID Connect zum Einsatz. Der neue Dienst erhält nur die Berechtigung, bestimmte Daten abzurufen – etwa euren Namen und eure E-Mail-Adresse. Euer Passwort bleibt dabei sicher bei Google.

Dieser Mechanismus schützt eure Sicherheit erheblich. Würdet ihr stattdessen überall dasselbe Passwort eingeben, hätten alle diese Dienste vollen Zugriff auf euer Konto. Mit OAuth vergebt ihr stattdessen kontrollierte, widerrufbare Berechtigungen.

Wie funktioniert OAuth? Der Ablauf Schritt für Schritt

OAuth arbeitet mit einem Drei-Parteien-System: Ihr als Nutzer, der Dienst, dem ihr vertraut (etwa Google), und die App, die Zugriff möchte. Technisch gesehen agiert OAuth wie ein Vermittler, der Zugriffsrechte verwaltet, ohne sensible Daten weiterzugeben.

Der Ablauf ist elegant durchdacht: Wenn eine App Zugriff auf eure Google-Daten möchte, werdet ihr zu Google weitergeleitet. Dort meldet ihr euch mit eurem gewohnten Passwort an – aber nur bei Google selbst, nicht bei der anfragenden App.

Google zeigt euch dann genau, welche Berechtigungen die App anfordert. Möchte sie nur eure E-Mail-Adresse lesen? Oder auch Zugriff auf euren Kalender? Ihr entscheidet bewusst, was ihr erlaubt.

Nach eurer Zustimmung erstellt Google einen Access Token – eine Art digitalen Schlüssel. Dieser Token wird an die App weitergegeben und berechtigt sie, nur auf die freigegebenen Daten zuzugreifen. Der Token ist zeitlich begrenzt und auf bestimmte Aktionen beschränkt.

Die App kann mit diesem Token nun bei Google anfragen und erhält die erlaubten Informationen. Euer Passwort hat die App dabei nie gesehen. Google kontrolliert jeden Zugriff und kann ihn jederzeit protokollieren oder sperren.

Die aktuelle Version OAuth 2.0 wurde entwickelt, um noch flexibler und sicherer zu sein. Sie unterstützt verschiedene Anwendungsszenarien: Web-Apps, mobile Apps, Desktop-Programme und sogar Smart-TV-Geräte. Jeder Gerätetyp nutzt einen passenden Autorisierungsablauf.

Besonders clever: OAuth unterscheidet zwischen verschiedenen Berechtigungsebenen. Eine App kann nur Leserechte bekommen oder auch Schreibrechte. Manche Tokens laufen nach Minuten ab, andere bleiben Monate gültig – je nach Sicherheitsbedarf.

Darum ist OAuth sicher: Datenschutz und Vorteile

OAuth,Authentifizierung,Sicherheit,Login,API

OAuth ist heute allgegenwärtig, auch wenn ihr es oft gar nicht bewusst wahrnehmt. Bei Google nutzt der „Mit Google anmelden“-Button OAuth 2.0 in Kombination mit OpenID Connect. Diese Single Sign-On-Funktionen machen euer digitales Leben deutlich bequemer.

Die praktischen Vorteile sind enorm: Ihr müsst euch nicht für jeden Dienst ein neues Passwort ausdenken und merken. Stattdessen nutzt ihr eure bestehenden Accounts bei vertrauenswürdigen Anbietern. Das reduziert die Gefahr schwacher oder wiederverwendeter Passwörter erheblich.

Auch für App-Entwickler ist OAuth ein Segen. Sie müssen keine eigene Nutzerverwaltung mit Passwort-Speicherung aufbauen – ein komplexes und riskantes Unterfangen. Stattdessen verlassen sie sich auf etablierte Authentifizierungsdienste.

Besonders wichtig: Ihr behaltet die Kontrolle. Viele große Anbieter bieten in ihren Kontoeinstellungen Übersichten über erteilte App-Berechtigungen, wo ihr diese verwalten und widerrufen könnt.

OAuth reduziert auch das Risiko bei Phishing-Angriffen, da ihr euer Passwort idealerweise nur bei vertrauten Diensten eingebt – nicht bei Drittanbieter-Apps. Dennoch solltet ihr immer aufmerksam bleiben: Gefälschte Login-Seiten oder manipulierte Autorisierungsseiten sind weiterhin möglich. Achtet darauf, dass ihr wirklich auf der offiziellen Seite des Anbieters seid.

OAuth und Single Sign-On: Was ist der Unterschied?

Viele verwechseln OAuth mit einer Authentifizierungsmethode, dabei ist es primär für die Autorisierung zuständig. Der Unterschied: Authentifizierung beweist, wer ihr seid (Login mit Passwort). Autorisierung regelt, was ihr dürft (Zugriffsrechte auf Daten).

Ein weiteres Missverständnis: OAuth bedeutet nicht automatisch, dass Apps eure Daten sehen können. Ihr müsst den Berechtigungen aktiv zustimmen. Lehnt ihr ab, erhält die App keinen Zugriff – so einfach ist das.

Manche glauben, OAuth sei unsicher, weil Apps auf ihre Daten zugreifen. Tatsächlich ist das Gegenteil der Fall: OAuth ist sicherer als die Alternative, bei der ihr überall euer Passwort eingeben müsstet. Die Tokens sind begrenzt und kontrollierbar.

Auch wichtig zu verstehen: OAuth ist nicht dasselbe wie OpenID Connect. Während OAuth Zugriffsrechte verwaltet, baut OpenID Connect darauf auf und ermöglicht echte Authentifizierung. Oft werden beide Technologien kombiniert eingesetzt – etwa beim „Mit Google anmelden“.

OAuth in der Praxis: Anwendungsfälle und APIs

OAuth entwickelt sich ständig weiter. Die Community arbeitet an OAuth 2.1, das Sicherheitsverbesserungen und Best Practices direkt in den Standard integriert. Besonders im Fokus: besserer Schutz vor Token-Diebstahl und klarere Richtlinien für App-Entwickler.

Verwandte Technologien wie SAML (Security Assertion Markup Language) werden oft in Unternehmensumgebungen eingesetzt, während OAuth eher im Consumer-Bereich dominiert. Beide verfolgen ähnliche Ziele, nutzen aber unterschiedliche technische Ansätze.

Wer tiefer einsteigen möchte: Die offizielle OAuth-Spezifikation ist öffentlich verfügbar. Entwickler finden dort detaillierte Implementierungsrichtlinien. Für Endnutzer reicht es, die Grundprinzipien zu verstehen und bewusst mit App-Berechtigungen umzugehen.