Mehr Inhalte dieses Speakers? Kein Problem, schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/manfred.steyer

Der Browser ist kein sicherer Ort. Sogar die OAuth2-Arbeitsgruppe empfiehlt mittlerweile, Security-Tokens lediglich serverseitig zu verstauen. Diese Idee lässt sich mit Gateways äußerst elegant und wiederverwendbar realisieren.

Hier besprechen wir diese Idee anhand einer Referenzimplementierung und diskutieren, welche Anpassungen für Micro Frontends/Services notwendig sind.

Zielpublikum: Architekt:innen, Entwickler:innen
Voraussetzungen: Grundlagenwissen zu Web-Entwickler
Schwierigkeitsgrad: Fortgeschritten

Extended Abstract:
Die Beispiele nutzen primär Keycloak. Allerdings werden wir sehen, wie einfach man auf andere Identity-Lösungen, wie Auth0 oder Azure AD, wechseln kann, ohne den Client anpassen zu müssen.

Für den Einsatz für große Systeme, die z. B. mittels Micro Frontends bzw. Micro Services strukturiert sind, besprechen wir die Implementierung eines transparenten Token-Austausches.

Das Ergebnis ist eine Lösung, die einfacher und sicherer als der direkte Einsatz von OAuth2/OpenID Connect im Browser ist: Einfacher, weil die sicherheits-relevanten Details im Gateway gekapselt werden, und sicherer, weil dem SPA-Client kein Token ausgestellt wird bzw. weil wir aktuellen Best Practices der OAuth2-Arbeitsgruppe folgen.