← Zurück zur Wissensdatenbank← Vorherige FrageNächste Frage →
SystemarchitekturBackend-Architekt

Wie implementiert man eine Autorisierungs- und Authentifizierungsschicht in einer verteilten IT-Architektur?

Bestehen Sie Vorstellungsgespräche mit dem Hintsage-KI-Assistenten

Antwort.

Zur Implementierung einer Authorisierungs- und Authentifizierungsschicht in einer verteilten Architektur werden in der Regel Systeme zur zentralen Identitätsverwaltung wie OAuth 2.0, OpenID Connect oder unternehmensinterne Identity Provider (IdP) verwendet. Die Authentifizierung (Identitätsprüfung) erfolgt über einen externen Anbieter, nach dem das Ergebnis (in der Regel ein Token) zur Autorisierung (Genehmigung von Berechtigungen) in allen Diensten verwendet wird.

Normalerweise funktioniert das Schema so:

  1. Der Benutzer authentifiziert sich über den IdP.
  2. Er erhält ein Access-Token (z.B. JWT).
  3. Bei der Anfrage an jeden Dienst legt der Benutzer das Token im Anfrage-Header vor.
  4. Der Dienst validiert das Token und extrahiert die Zugriffsrechte aus den Claims.

Beispielcode zur Überprüfung eines JWT-Tokens in Python mit der Bibliothek PyJWT:

import jwt
from jwt.exceptions import InvalidTokenError

def verify_jwt(token, public_key):
    try:
        payload = jwt.decode(token, public_key, algorithms=["RS256"])
        return payload
    except InvalidTokenError:
        return None

# Beispielbenutzung
user_info = verify_jwt(received_token, public_key)
if user_info:
    # Zugriff gewährt
    pass
else:
    # Zugriff verweigert
    pass

Wichtige Merkmale:

  • Zentrale Zugriffskontrolle wird von einer einzigen Quelle der Wahrheit (IdP, z.B. Keycloak oder Auth0) codiert.
  • Sicherheit wird durch Tokenisierung und Validierung von Signaturen (z.B. JWT) erreicht.
  • Unterstützung von SSO und multifaktorieller Authentifizierung.

Fangfragen.

Frage: Ist es zwingend erforderlich, alle Informationen über die Benutzerrechte direkt im JWT-Token zu speichern?

Nicht zwingend. Um die Größe des Tokens zu minimieren, werden in der Regel nur die Benutzer-ID und ein minimales Set an Rechten/Rollen darin gespeichert. Detaillierte Berechtigungen können bei Bedarf vom Server über zusätzliche Anfragen oder nachladbare Profil-Claims abgerufen werden.

Frage: Sind Refresh-Tokens ein notwendiges Element aller verteilten Architekturen?

Nein, Refresh-Tokens sind nur erforderlich, wenn eine langfristige Sitzung ohne erneute Authentifizierung erforderlich ist. In stateless APIs sind in der Regel nur Access Tokens mit kurzer Laufzeit aktiv, und Refresh-Logik wird nur für Web- oder Mobile-Clients implementiert.

Frage: Kann der Payload-Bereich in einem JWT verschlüsselt sein?

Laut dem JWT-Standard (RFC 7519) wird der Payload nur signiert, aber nicht verschlüsselt. Für die Verschlüsselung wird ein anderer Standard - JWE (JSON Web Encryption) - verwendet. Andernfalls kann jeder, der das Token hat, den Payload lesen (z.B. über jwt.io):

import jwt
jwt.decode(token, options={"verify_signature": False})