Authentifizierung: OpenID Connect fertiggestellt

Fast vier Jahre nach den ersten Überlegungen und über sechs Jahre nach der letzten Version 2.0 steht mit OpenID Connect nun die neue Generation des Authentifizierungssystems bereit. Das Protokoll basiert nun auf OAuth 2.0, was Programmierern den Umgang damit vereinfachen soll. Ebenso soll es nun möglich sein, die Technologie in Desktopanwendungen und Apps einfach zu benutzen.

Einfacher für Entwickler

Die Einfachheit wird über ein JSON-API für die Entwickler gewährleistet. Jeder Programmierer, der in der Lage sei, JSON-Nachrichten über HTTP zu versenden und zu empfangen, werde in der Lage sein, das Protokoll zu implementieren. Zumal auf bereits existierende Kryptobibliotheken zurückgegriffen werden kann, zur Übertragung der Informationen nutzt OAuth 2.0 TLS.

Darüber hinaus müssen sich die Entwickler einer Anwendung, die OpenID nutzt, nicht mehr selbst um die Sicherheit der Login-Daten kümmern. Diese können an sogenannte Identity Provider (IDP) ausgelagert werden, die derzeit größten sind Google und Mircosoft. Die OpenID-Foundation setzt aber darauf, dass künftig vielmehr IDPs zur Verfügung stehen, da theoretisch jeder entsprechende Dienste aufweisen kann.

Bereits verwendbar

Zwar ist die Spezifikation von OpenID Connect 1.0 erst gestern offiziell vorgestellt worden, dennoch bieten einige der Projektbeteiligten bereits die Möglichkeit, die neue Technologie zu verwenden. So lässt sich das System leicht in Android integrieren und auch ein Login via Google+ nutzt OpenID Connect bereits.

Die Vereinigung von Mobilfunkanbietern GSMA, die unter anderem den Mobile World Congress ausrichtet, plant außerdem, unter dem Namen Mobile Connect Anwendungen auf Basis des neuen Protokolls zu entwickeln. Immerhin verfügen die Netzbetreiber bereits über vergleichsweise sichere Möglichkeiten zur Identifikation von Nutzern anhand der Informationen auf der SIM-Karte, was in Mobile Connect verwendet werden soll.