Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Login und Access-Control für SPA

Avatar for Manfred Steyer Manfred Steyer
PRO
November 08, 2017
Programming
0
220

Login und Access-Control für SPA

Session from w-jax 2017 in Munich
Avatar for Manfred Steyer

Manfred Steyer
PRO

November 08, 2017
Tweet

More Decks by Manfred Steyer

See All by Manfred Steyer
Modern Angular with Signals and Signal Store: New Rules for Your Architecture @enterJS Advanced Angular Day 2025
Avatar for Manfred Steyer manfredsteyer
PRO
0
170
The Missing Link in Angular‘s Signal Story Resource API and httpResource @ngRome 2025
Avatar for Manfred Steyer manfredsteyer
PRO
0
79
Your Architecture as a Crime Scene: Forensic Analysis
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
Rethinking Data Access: The New httpResource in Angular
Avatar for Manfred Steyer manfredsteyer
PRO
0
290
Reactive Thinking with Signals, Resource API, and httpResource @Devm.io Angular 20 Launch Party
Avatar for Manfred Steyer manfredsteyer
PRO
0
190
JavaScript as a Crime Scene Forensic Analysis
Avatar for Manfred Steyer manfredsteyer
PRO
0
90
Modern Angular with Signals and Signal Store: New Rules for Your Architecture @jax2025 in Mainz, Germany
Avatar for Manfred Steyer manfredsteyer
PRO
0
170
Premier Disciplin for Micro Frontends Multi Version/ Framework Scenarios
Avatar for Manfred Steyer manfredsteyer
PRO
0
98
Your Architecture as a Crime Scene Forensic Analysis
Avatar for Manfred Steyer manfredsteyer
PRO
0
72

Other Decks in Programming

See All in Programming
Systèmes distribués, pour le meilleur et pour le pire - BreizhCamp 2025 - Conférence
Avatar for Sébastien LECACHEUR slecache
0
120
PHP 8.4の新機能「プロパティフック」から学ぶオブジェクト指向設計とリスコフの置換原則
Avatar for 武田 憲太郎 kentaroutakeda
2
700
設計やレビューに悩んでいるPHPerに贈る、クリーンなオブジェクト設計の指針たち
Avatar for panda_program panda_program
6
1.8k
Goで作る、開発・CI環境
Avatar for Shinpei Mine sin392
0
190
Rubyでやりたい駆動開発 / Ruby driven development
Avatar for chobishiba chobishiba
1
530
地方に住むエンジニアの残酷な現実とキャリア論
Avatar for nakamichi ichimichi
5
1.5k
Flutterで備える!Accessibility Nutrition Labels完全ガイド
Avatar for 野瀬田 裕樹 yuukiw00w
0
140
Discover Metal 4
Avatar for rei rei315
2
110
システム成長を止めない!本番無停止テーブル移行の全貌
Avatar for さかうぇ sakawe_ee
1
150
XP, Testing and ninja testing
Avatar for seki at druby.org m_seki
3
220
CursorはMCPを使った方が良いぞ
Avatar for taiga taigakono
1
210
今ならAmazon ECSのサービス間通信をどう選ぶか / Selection of ECS Interservice Communication 2025
Avatar for Tetsuya Kikuchi tkikuc
20
3.8k

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
500
Docker and Python
Avatar for Tania Allard trallard
44
3.5k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.5k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
48
5.4k

Transcript

  1. Muster für Login- und Access Control in SPA Manfred Steyer

    SOFTWAREarchitekt.at ManfredSteyer

  2. Über mich … • Manfred Steyer • SOFTWAREarchitekt.at • Trainer

    & Consultant • Fokus: Angular • Google Developer Expert (GDE) Page ▪ 3 Manfred Steyer

  3. Inhalt • Motivation • OAuth 2 • OpenId Connect •

    Token Refresh • Single Sign out • DEMO mit Angular

  4. Zugriff auf App und Backend

  5. HTTP Basic und Co? Username+Password Username+Password ? ?

  6. Probleme Sensible Daten immer übertragen? Delegation an andere Server? Jeder

    Server prüft Credentials? Single Sign on?

  7. Cookies? Username + Password Cookie Cookie ? ?

  8. Probleme XSRF Delegation an andere Server? Cross Origin? Single Sign

    on?
  9. None

  10. Token? Username + Password Token Token Token' Token

  11. Probleme Anbindung existierender Identity Lösungen? Lose Kopplung zu Identity Lösung?

    Single Sign On? Client sieht Passwort

  12. Rollen Folie▪ 13 Client Authorization-Server Resource-Server

  13. Prinzipieller Ablauf Folie▪ 14 Client Authorization-Server Resource-Server 1. Umleitung 2.

    Umleitung mit Access-Token 3. Access-Token Ein zentrales Benutzerkonto Nur Auth-Svr. kennt Passwort Auth. von Client entkoppelt Flexibilität durch Token SPA: Kein Cookie: Kein CSRF

  14. OAuth 2

  15. Was ist OAuth ? • Ursprünglich Entwickelt von Twitter und

    Ma.gnolia • Protokoll zum Delegieren von (eingeschränkten) Rechten • Mittlerweile verwendet von Google, Facebook, Flickr, Microsoft, Salesforce.com oder Yahoo! • Verschiedene Flows Folie▪ 16

  16. Implicit Flow für SPA Folie▪ 17 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token 3. Access-Token

  17. Token (typische Inhalte) • Informationen über Benutzer (Claims) • Rechte,

    die der Client wahrnehmen darf • Aussteller • Audience (für wen wurde Token ausgestellt) • Gültigkeitsdatum • Signatur des Ausstellers Folie▪ 18

  18. Token-Format • OAuth 2 schreibt kein Token-Format vor • Ressource

    Server muss Token validieren können Folie▪ 19

  19. Token-Formate (Auswahl) • GUID (Referenz-Token) • Eigenes Tokenformat • JWT:

    JSON Web Token • JSON-Dokument beschreibt Claims • Kann signiert und/oder verschlüsselt sein Folie▪ 20

  20. SSO und OpenID Connect Page ▪ 23

  21. SSO mit OAuth Folie▪ 24 Client Authorization-Server Ressource- Server 3.

    /user/profile + Token 1. Token anfordern { "user_name": "susi", "email": "[email protected]", … } 2. Token &scope=profile Nicht durch OAuth 2.0 definiert

  22. OpenId Connect (OIDC) • Erweiterung zu OAuth 2.0 • Standardisiert

    User-Profil-Endpunkt (Service mit Daten zum Benutzer) • Client erhält auch ID-Token • JWT-Token mit Infos zum Benutzer + Audience • JWT-Token kann vom Aussteller signiert sein Folie▪ 25

  23. Implicit Flow mit OIDC Folie▪ 26 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token und Id-Token 3. Access-Token

  24. Demo • Angular • angular-oauth2-oidc • OIDC Certified • Identity

    Server in Cloud

  25. DEMO

  26. Refresh Page ▪ 29

  27. Warum Refresh? Kurzlebige Token erhöhen Sicherheit Benutzer möchte sich aber

    nicht ständig manuell anmelden

  28. Refresh Token (1) Folie▪ 31 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token und Refresh-Token

  29. Refresh Token (2) Folie▪ 32 Client Authorization-Server Resource-Server 3. Refresh-Token

    4. Umleitung mit Access-Token und Id-Token und neuem Refresh-Token

  30. Kein Refresh-Token bei Implicit Flow Leider oder zum Glück?

  31. Refresh dank Cookie Folie▪ 34 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token

  32. Silent Refresh Folie▪ 35 Client Authorization-Server Resource-Server 1. Umleitung in

    verstecktem iFrame 2. Umleitung mit Access-Token und Id-Token

  33. DEMO

  34. Single Sign out

  35. Single Sign out Folie▪ 38 Client B Authorization-Server Resource-Server 1.

    Abmelden 2. Abmelden Client A

  36. Kanal zum Client offenhalten? • Websockets • Server Send Events

    • Hidden IFrame • OIDC Session Management

  37. DEMO Page ▪ 40

  38. Fazit Token: Flexibilität und Cross Origin OAuth 2: Autorisierung OpenId

    Connect: Authentifizierung Implicit Flow Silent Refresh Single Sign out

  39. Kontakt und Downloads [mail] [email protected] [blog] SOFTWAREarchitekt.at [twitter] ManfredSteyer