Glossar

SSO‑Begriffe einfach erklärt.

Kurze, klare Definitionen für die wichtigsten Begriffe rund um OIDC, OAuth 2.0 und Sicherheit.

Wie du es nutzt

1 Begriff suchen oder Kategorie wählen
2 Kurzdefinition lesen
3 Bei Bedarf Details in „SSO erklärt"

25 Begriffe

SSO

Ein Login für viele Anwendungen. Nutzer melden sich einmal an und erhalten Zugriff auf mehrere Dienste.

OIDC

OpenID Connect – Erweiterung von OAuth 2.0 um Identität. Liefert ein id_token mit Benutzerinformationen.

OAuth 2.0

Standard, der regelt, wie Apps Zugriff auf APIs bekommen – ohne Passwörter zu teilen.

Consent

Zustimmung des Nutzers zu den angefragten Scopes. Der Nutzer entscheidet, welche Daten freigegeben werden.

Scopes

Freigaben, die definieren, welche Daten oder Aktionen erlaubt sind. Beispiel: openid profile email.

Claims

Einzelne Datenpunkte im Token, z.B. email, name, sub. Scopes bestimmen, welche Claims zurückgegeben werden.

Subject (sub)

Eindeutige Benutzer-ID im Token. Bleibt für einen Nutzer bei einem Client immer gleich.

id_token

Signierter JWT mit Identitätsinformationen. Enthält iss, sub, aud. Nicht für API‑Zugriff verwenden.

access_token

Zugriffstoken für APIs. Steuert, welche Daten eine App abrufen darf. Als Bearer Token im Authorization-Header senden.

Refresh Token

Langlebiges Token, um neue Access Tokens zu erhalten ohne erneuten Login. Wird bei Rotation ausgetauscht.

Authorization Code

Kurzlebiger Code, der im Browser übergeben und serverseitig gegen Tokens getauscht wird.

JWT

JSON Web Token – Base64-kodierte, signierte Datenstruktur. Besteht aus Header, Payload und Signatur.

Bearer Token

Token, das im Authorization: Bearer Header an APIs gesendet wird. Wer das Token hat, hat Zugriff.

PKCE

Proof Key for Code Exchange – Schutzmechanismus für öffentliche Clients (Mobile, SPAs), verhindert Code‑Diebstahl.

State

CSRF‑Schutz: Zufälliger Wert, der verhindert, dass Login‑Antworten von Angreifern missbraucht werden.

Nonce

Einmaliger Wert, der Tokens an die Login‑Session bindet. Schützt vor Replay-Angriffen.

Token Revocation

Mechanismus, um Tokens aktiv zu invalidieren (z.B. bei Logout). Endpoint: /oidc/revoke.

Token Introspection

Prüft, ob ein Token gültig ist und gibt Metadaten zurück. Für Resource Server ohne JWT-Validierung.

Issuer (iss)

Aussteller des Tokens. Muss immer geprüft werden, um sicherzustellen, dass das Token vom richtigen Provider kommt.

Audience (aud)

Empfänger des Tokens (Client ID). Tokens mit falscher Audience müssen abgelehnt werden.

Discovery

Endpunkte automatisch finden via /.well-known/openid-configuration. Keine Hardcoded URLs nötig.

JWKS

JSON Web Key Set – Public Keys im JSON‑Format zur Signaturprüfung von Tokens. Endpoint: /.well-known/jwks.json.

Client ID

Öffentlicher Identifier der Anwendung. Wird bei jedem OIDC-Request mitgesendet.

Client Secret

Geheimes Passwort für vertrauliche Clients. Niemals im Frontend oder Mobile Apps verwenden.

Redirect URI

URL, zu der der Browser nach dem Login zurückgeleitet wird. Muss exakt mit der Client-Konfiguration übereinstimmen.

Grant Type

Art des Token-Austauschs: authorization_code, refresh_token, client_credentials, device_code.

SSO erklärt Integration

BASH Discovery (Beispiel)

https://sso.eurip.com/.well-known/openid-configuration

curl https://sso.eurip.com/.well-known/openid-configuration

BASH JWKS (Beispiel)

https://sso.eurip.com/.well-known/jwks.json

curl https://sso.eurip.com/.well-known/jwks.json

FAQ – Begriffe schnell geklärt

PKCE schützt öffentliche Clients vor Code‑Diebstahl. Bei SPAs und Mobile Apps ist PKCE Pflicht.

id_token ist für Identität (wer ist der User), access_token ist für API‑Zugriff (was darf der User).

Discovery liefert Endpunkte automatisch und vermeidet Hardcoding. Bei Key-Rotation werden die neuen Keys automatisch gefunden.

Token muss abgelehnt werden. Ein Token für Client A darf nicht von Client B akzeptiert werden.

Mehr Kontext gewünscht?

Sieh dir den vollständigen Flow und die Sicherheitsfeatures an.