Authentifizierung und Autorisierung

Programmierpraktikum HHU

8 Nov 202317:32

Summary

TLDRIn diesem Video wird das Thema Zugriffskontrolle ausführlich behandelt, insbesondere die Unterscheidung zwischen Authentifizierung und Autorisierung. Es wird erklärt, wie verschiedene Authentifizierungsmethoden wie Basic Authentication, Session Cookies und Access Tokens (JWT) funktionieren und ihre jeweiligen Vor- und Nachteile. Zudem wird aufgezeigt, wie Autorisierungen umgesetzt werden können, entweder durch die Anwendung selbst oder über einen Proxy. Ein besonderer Fokus liegt auf der Notwendigkeit von HTTPS, um die Sicherheit bei der Übertragung von Authentifizierungsdaten zu gewährleisten. Das Video liefert wertvolle Informationen für eine sichere und effiziente Implementierung von Zugangskontrollen in Webanwendungen.

Takeaways

😀 Zugriffskontrolle bedeutet, dass ein Server sicherstellt, dass nur berechtigte Benutzer auf eine Ressource zugreifen können.
😀 Authentifizierung und Autorisierung sind die zwei zentralen Begriffe bei der Zugriffskontrolle: Authentifizierung stellt fest, mit wem der Server spricht, und Autorisierung überprüft, ob der Benutzer berechtigt ist, auf eine Ressource zuzugreifen.
😀 HTTP ist zustandslos, was bedeutet, dass jeder Request authentifiziert und autorisiert werden muss, da der Server keinen Zustand zwischen den Anfragen speichert.
😀 Es gibt verschiedene Methoden der Authentifizierung wie HTTP Basic Authentication, Session Cookies und Access Tokens.
😀 HTTP Basic Authentication sendet Benutzername und Passwort als Header im Klartext (Base64-codiert), was Sicherheitsrisiken birgt.
😀 Bei der Verwendung von Cookies für die Authentifizierung wird eine Session-ID genutzt, um den Benutzer bei nachfolgenden Requests zu identifizieren, was das Ausloggen einfacher macht.
😀 Access Tokens sind eine sichere Methode der Authentifizierung, da sie stateless sind und die vollständige Session-Information im Token enthalten ist, ohne dass eine Datenbankabfrage erforderlich ist.
😀 JSON Web Tokens (JWT) werden verwendet, um Informationen sicher zu übertragen. Sie bestehen aus Header, Payload und einer Signatur, die die Integrität des Tokens gewährleistet.
😀 Access Tokens können auch von einem externen Authentifizierungsdienst (z.B. GitHub) ausgestellt werden, was den Vorteil hat, dass keine Passwörter selbst gespeichert werden müssen.
😀 Für alle Authentifizierungsmethoden gilt: Die Kommunikation muss immer über HTTPS erfolgen, da ansonsten Credentials und Tokens abgefangen und missbraucht werden können.

Q & A

Was bedeutet Zugriffssteuerung und warum ist sie wichtig?
-Zugriffssteuerung stellt sicher, dass nur autorisierte Benutzer auf bestimmte Ressourcen auf einem Server zugreifen können. Sie ist wichtig, um die Sicherheit von Daten und Systemen zu gewährleisten und unbefugten Zugriff zu verhindern.
Was sind die zwei wesentlichen Begriffe der Zugriffssteuerung?
-Die zwei wesentlichen Begriffe sind Authentifizierung (die Überprüfung der Identität des Benutzers) und Autorisierung (die Entscheidung, ob der Benutzer berechtigt ist, auf eine bestimmte Ressource zuzugreifen).
Wie funktioniert die Authentifizierung in einer Webanwendung?
-Bei der Authentifizierung wird überprüft, mit wem der Server spricht, indem der Benutzer entweder ein Geheimnis (wie ein Passwort) oder ein Stück Hardware (wie ein Telefon für Zwei-Faktor-Authentifizierung) nachweist.
Was ist der Unterschied zwischen Authentifizierung und Autorisierung?
-Authentifizierung stellt fest, wer der Benutzer ist, während Autorisierung prüft, ob der Benutzer berechtigt ist, auf eine spezifische Ressource zuzugreifen.
Warum ist es problematisch, bei jeder Anfrage ein Passwort einzugeben?
-Wenn Benutzer bei jeder Anfrage ein Passwort eingeben müssten, würde dies zu einer schlechten Benutzererfahrung führen und die Nutzer könnten sich schnell darüber ärgern.
Was ist der Nachteil von HTTP im Zusammenhang mit Authentifizierung und warum muss HTTPS verwendet werden?
-HTTP ist zustandslos und ermöglicht es nicht, Anfragen miteinander zu verknüpfen, ohne zusätzliche Informationen zu übertragen. HTTPS schützt jedoch alle Übertragungen vor dem Abhören und verhindert, dass Authentifizierungsinformationen abgefangen werden.
Welche Authentifizierungsmethoden werden häufig in Webanwendungen verwendet?
-Häufig verwendete Authentifizierungsmethoden sind HTTP Basic Authentication, Session-Cookies und Access Tokens (z.B. JWTs).
Wie funktioniert die HTTP Basic Authentication?
-Bei der HTTP Basic Authentication sendet der Client bei jeder Anfrage den Benutzernamen und das Passwort als Header. Diese Daten sind Base64-codiert, aber nicht verschlüsselt, weshalb HTTPS zur Sicherung der Kommunikation erforderlich ist.
Was ist der Vorteil von Session-Cookies im Vergleich zu HTTP Basic Authentication?
-Session-Cookies ermöglichen es, eine Benutzer-Session beizubehalten, sodass der Benutzer nicht bei jeder Anfrage sein Passwort eingeben muss. Außerdem ermöglicht der Server das einfachere Logout durch Löschen der Session-Cookies.
Was sind Access Tokens (z.B. JWT) und wie funktionieren sie?
-Access Tokens wie JWTs sind JSON-Web-Tokens, die Benutzerdaten und Authentifizierungsinformationen enthalten. Sie sind signiert, um Manipulationen zu verhindern, und werden verwendet, um eine stateless Authentifizierung zu ermöglichen. Der Server benötigt keine gespeicherten Session-Daten.
Was passiert, wenn ein Token manipuliert wird?
-Wenn ein Token manipuliert wird, ist die Signatur des Tokens ungültig, und der Server kann es nicht verifizieren. Dadurch wird der Zugriff verweigert, da der Server den Token-Inhalt nicht vertrauen kann.
Welche Sicherheitsvorkehrungen müssen bei der Verwendung von Authentifizierungsmethoden getroffen werden?
-Es muss immer HTTPS verwendet werden, um die Übertragung von Anmeldedaten, Session-Cookies und Access Tokens zu sichern. Ohne HTTPS könnten Angreifer Passwörter oder Token abfangen und unbefugten Zugriff erlangen.