PixelBurn
Startseite/Technologien/OAuth 2.0 einfach erklÀrt: So funktioniert die Anmeldung mit Google & Co.
Technologien

OAuth 2.0 einfach erklÀrt: So funktioniert die Anmeldung mit Google & Co.

OAuth 2.0 ermöglicht die Anmeldung bei Websites und Apps ohne Passwortweitergabe. Der Standard sorgt fĂŒr mehr Sicherheit und Komfort durch Token-basierte Zugriffsverwaltung. Wie das System funktioniert, warum es sicherer als klassische Logins ist und worauf Sie achten sollten, erfahren Sie in diesem umfassenden Leitfaden.

10. Apr. 2026
11 Min
OAuth 2.0 einfach erklÀrt: So funktioniert die Anmeldung mit Google & Co.

OAuth 2.0 ist ein Standard, der es ermöglicht, sich bei Apps und Websites anzumelden, ohne ein neues Passwort zu erstellen. Dank diesem System können Sie mit nur wenigen Klicks auf "Mit Google anmelden", "Mit Facebook anmelden" oder "Mit GitHub anmelden" klicken und sofortigen Zugriff erhalten.

Ihr Passwort wird dabei niemals an den Drittanbieter weitergegeben - stattdessen kommt ein sicheres Token-Verfahren zum Einsatz. In diesem Artikel erfahren Sie, wie OAuth 2.0 funktioniert, was "unter der Haube" passiert und warum diese Methode sicherer ist als herkömmliche Logins.

Was ist OAuth 2.0 einfach erklÀrt?

OAuth 2.0 ist eine Methode, mit der ein Dienst einer anderen Anwendung eingeschrĂ€nkten Zugriff auf Daten gewĂ€hren kann - ohne dass das Passwort ĂŒbermittelt wird.

Ein Beispiel aus der Praxis:

  1. Sie besuchen eine Website und klicken auf "Mit Google anmelden".
  2. Die Website kennt Ihr Google-Passwort nicht und erhÀlt es auch nicht. Stattdessen fragt Google:
  3. "Möchten Sie dieser Website Zugriff auf Ihre E-Mail-Adresse und Ihren Namen erlauben?"
  4. Wenn Sie zustimmen, stellt Google einen speziellen SchlĂŒssel - ein sogenanntes Token - aus, der nur den erlaubten Zugriff ermöglicht.

Warum ist OAuth ĂŒberhaupt notwendig?

FrĂŒher mussten Nutzer fĂŒr jede Seite:

  • einen neuen Account anlegen,
  • ein Passwort ausdenken,
  • und dieses oft unsicher speichern.

OAuth löst mehrere Probleme auf einmal:

  • Vereinfachter Login (1 Klick statt Registrierung)
  • Reduziertes Risiko von Passwort-Leaks
  • Kontrolle ĂŒber die freigegebenen Daten

Authentifizierung vs. Autorisierung

Ein wichtiger Unterschied, der oft verwechselt wird:

  • Authentifizierung: Wer sind Sie? (Echtheit des Nutzers prĂŒfen)
  • Autorisierung: Was dĂŒrfen Sie? (Zugriff auf Daten regeln)

OAuth 2.0 ist in erster Linie ein Autorisierungs-Framework - aber praktisch wird es oft mit anderen Technologien kombiniert, um Login-Funktionen wie "Mit Google anmelden" zu ermöglichen.

Wo wird OAuth eingesetzt?

  • Anmeldung ĂŒber Google, Facebook, Apple usw.
  • Autorisierung in Apps via soziale Netzwerke
  • Anbindung von Diensten (z.B. Telegram-Bots oder Drittanbieter-Apps)
  • API-Integrationen zwischen Services

Warum "Mit Google anmelden" keine Passwortweitergabe ist

Viele glauben, dass beim Klick auf "Mit Google anmelden" die Website das eigene Passwort erhÀlt. Das ist ein Mythos.

Das Passwort bleibt ausschließlich bei Google und wird niemals an Dritte ĂŒbermittelt.

Was passiert wirklich beim OAuth-Login?

  1. Die Website leitet Sie auf die Google-Anmeldeseite um.
  2. Sie geben Ihr Passwort ausschließlich bei Google ein.
  3. Google fragt, welche Berechtigungen Sie vergeben möchten.
  4. Nach der BestÀtigung sendet Google ein spezielles Token an die Website.

Die Website hat keinen Zugriff auf Ihr Passwort - sie erhÀlt nur das Ergebnis Ihrer Freigabe.

Warum ist OAuth 2.0 sicherer?

  • Ihr Passwort bleibt ausschließlich bei Google gespeichert.
  • Drittanbieter erhalten lediglich eingeschrĂ€nkten Zugriff.
  • Sie können Zugriffsrechte jederzeit widerrufen.

Selbst wenn ein Drittanbieter gehackt wird, gelangt niemand an Ihr Passwort - maximal an einen Token, der schnell ungĂŒltig gemacht werden kann.

Welche Daten erhÀlt die Website?

Nach der Autorisierung erhÀlt die Website (je nach Freigabe):

  • Ihren Namen
  • E-Mail-Adresse
  • Profilbild
  • Weitere Daten (falls Sie diese erlauben)

Wichtig: Sie sehen die Liste der angeforderten Berechtigungen immer vor der BestÀtigung.

Die Rolle der Token statt Passwort

  • Access Token: SchlĂŒssel zum Zugriff auf bestimmte Daten
  • Refresh Token: (optional) zur VerlĂ€ngerung des Zugriffs

Das Prinzip: Nicht "Hier ist mein Passwort", sondern "Hier ist eine zeitlich begrenzte, eingeschrÀnkte Erlaubnis".

Wann sollte man vorsichtig sein?

  • GefĂ€lschte Anmeldefenster (Phishing)
  • VerdĂ€chtige Apps mit ĂŒbermĂ€ĂŸigen Berechtigungen
  • Anmeldung ĂŒber unbekannte Websites

Wenn die Anmeldeseite merkwĂŒrdig aussieht oder die Adresse nicht google.com ist, geben Sie keine Daten ein!

Wie funktioniert OAuth 2.0 Schritt fĂŒr Schritt?

Um OAuth 2.0 wirklich zu verstehen, schauen wir hinter die Kulissen des Prozesses "Mit Google anmelden":

  • Nutzer: Sie
  • Client: Die Website oder App, bei der Sie sich anmelden
  • Autorisierungsserver: Google
  • Ressourcenserver: Google-API mit Ihren Daten

Schritt 1 - Weiterleitung zu Google

Sie klicken auf "Mit Google anmelden" und werden auf die Google-Autorisierungsseite weitergeleitet. Es werden Parameter ĂŒbergeben wie:

  • Wer fragt an?
  • Welche Daten werden benötigt?
  • Wohin soll der Nutzer nach dem Login zurĂŒckkehren?

Dies ist der Start des sogenannten OAuth-Flows.

Schritt 2 - Zugriff bestÀtigen

Google zeigt Ihnen ein Fenster mit:

  • Ihrem Account
  • einer Liste der angeforderten Berechtigungen (E-Mail, Profil etc.)

Sie entscheiden: Erlauben oder Verweigern. Ohne Ihre Zustimmung ist kein Zugriff möglich - das ist ein Grundprinzip von OAuth.

Schritt 3 - Authorization Code erhalten

Nach Zustimmung gibt Google nicht sofort Zugriff, sondern sendet zunĂ€chst einen temporĂ€ren Authorization Code an die Website zurĂŒck. Dieser Code selbst hat noch keine Funktion - er ist nur ein Zwischenschritt.

Schritt 4 - Austausch gegen Access Token

Die Website schickt diesen Code (vom eigenen Server) an Google zurĂŒck und erhĂ€lt:

  • Access Token
  • ggf. Refresh Token

Jetzt besitzt die Website einen offiziellen ZugangsschlĂŒssel.

Schritt 5 - Zugriff auf Benutzerdaten

Mit dem Access Token kann die Website auf die von Ihnen freigegebenen Daten zugreifen (z.B. E-Mail, Name, Profilbild). Der Zugriff ist streng auf das von Ihnen erlaubte Maß begrenzt.

Die Grundlogik hinter OAuth

  • Der Nutzer vertraut Google.
  • Google vertraut der App (wenn der Nutzer es erlaubt).
  • Die App bekommt nur eingeschrĂ€nkten, niemals vollstĂ€ndigen Zugriff.

Dadurch ist das System gleichzeitig komfortabel und sicher.

Was sind Access Token und Refresh Token?

Nach erfolgreicher OAuth 2.0-Anmeldung erhĂ€lt die Website kein Passwort, sondern arbeitet ausschließlich mit Token. Das ist das HerzstĂŒck des Systems.

Access Token - der Haupt-ZugangsschlĂŒssel

Ein Access Token ist ein temporĂ€rer "SchlĂŒssel", mit dem eine App auf Benutzerdaten zugreifen kann:

  • E-Mail abrufen
  • Name erfahren
  • API-Zugriff (z.B. Google Drive, Gmail usw.)

Charakteristika:

  • Nur fĂŒr begrenzte Zeit gĂŒltig (z.B. 1 Stunde)
  • EingeschrĂ€nkte Berechtigungen (nur, was Sie erlauben)
  • Kann jederzeit widerrufen werden

Vergleichbar mit einem temporÀren Ausweis statt vollem Account-Zugang.

Refresh Token - Zugriff verlÀngern

Ein Refresh Token dient dazu, neue Access Tokens zu erhalten, ohne dass der Nutzer sich erneut einloggen muss:

  1. Das Access Token ist abgelaufen.
  2. Die App sendet das Refresh Token an Google.
  3. Google gibt ein neues Access Token aus.

FĂŒr den Nutzer lĂ€uft alles automatisch im Hintergrund ab.

Warum zwei Token besser sind als einer

  • Kurzlebige Access Tokens reduzieren das Risiko bei Diebstahl.
  • Refresh Tokens werden sicherer (meist serverseitig) gespeichert.
  • Kein stĂ€ndiges Passwort-Eingeben nötig.

Wird ein Access Token gestohlen, ist es meist schnell wertlos.

Wo werden Tokens gespeichert?

  • Access Token: temporĂ€r im Speicher oder Client
  • Refresh Token: sicher auf dem Server

So sinkt das Risiko eines Datenlecks.

Zugriff widerrufen - geht das?

Ja, das ist ein wichtiger Aspekt von OAuth. Im Google-Account können Sie:

  • eine Liste der verbundenen Apps einsehen,
  • Zugriffsrechte jederzeit widerrufen.

Dann werden alle zugehörigen Tokens ungĂŒltig gemacht.

Das Wichtigste auf einen Blick

  • OAuth gibt niemals Ihr Passwort weiter.
  • Sie erhalten:
    • zeitlich begrenzten Zugang (Access Token)
    • eine Möglichkeit zur VerlĂ€ngerung (Refresh Token)
  • Deshalb gilt die Anmeldung ĂŒber Google als sicher - sofern korrekt implementiert.

Die wichtigsten OAuth 2.0 Flows

OAuth 2.0 ist kein einzelner Ablauf, sondern besteht aus verschiedenen sogenannten "Flows", die je nach Anwendungstyp eingesetzt werden: Website, Mobile-App oder Server.

Authorization Code Flow - der wichtigste und sicherste

  • Wird bei Logins ĂŒber Google genutzt.
  • Der Nutzer authentifiziert sich, die App erhĂ€lt einen Authorization Code, der Server tauscht diesen gegen ein Access Token.

Warum sicher:

  • Tokens werden nicht direkt im Browser ausgegeben.
  • Serverseitige PrĂŒfung.
  • ZusĂ€tzliche Sicherheitsmaßnahmen wie PKCE möglich.

Standard fĂŒr:

  • Web-Anwendungen
  • Moderne mobile Apps

Implicit Flow - veralteter Ansatz

FrĂŒher fĂŒr reine Browser-Anwendungen (SPA) ohne eigenen Server genutzt. Besonderheit:

  • Access Token wird direkt ausgegeben, kein Code-Austausch

Nachteile:

  • Token ist im Browser zugĂ€nglich
  • Höheres Leckagerisiko
  • Schlechtere Sicherheit

Heute gilt dieser Flow als veraltet und wird durch sicherere Alternativen ersetzt.

Client Credentials Flow - fĂŒr Server-zu-Server-Kommunikation

Wird genutzt, wenn kein Nutzer beteiligt ist, sondern nur Server kommunizieren.

  • Ein Dienst greift auf die API eines anderen zu.
  • Der Server authentifiziert sich mit eigenen SchlĂŒsseln und erhĂ€lt ein Access Token.

Einsatzbereiche:

  • Mikroservices
  • Backend-Integrationen
  • Automatisierung

Warum ist die Unterscheidung wichtig?

  • Nutzerlogin → Authorization Code Flow
  • Server-zu-Server → Client Credentials Flow
  • Alte SPAs → Implicit Flow (wird abgelöst)

FĂŒr "Mit Google anmelden" wird fast immer der Authorization Code Flow genutzt.

OAuth 2.0 vs. OpenID Connect - der Unterschied

Viele denken, OAuth 2.0 sei eine Login-Technologie. TatsĂ€chlich regelt OAuth aber den Zugriff auf Daten, nicht die IdentitĂ€tsprĂŒfung.

Warum OAuth keine Login-Lösung ist

OAuth 2.0 beantwortet die Frage: "Darf diese Anwendung auf die Daten des Nutzers zugreifen?"
Aber nicht: "Wer ist der Nutzer?"

  • Die App erhĂ€lt Zugriff auf z.B. die E-Mail-Adresse
  • Die IdentitĂ€t des Nutzers ist damit aber nicht nachgewiesen

Was macht OpenID Connect?

OpenID Connect (OIDC) ist eine Erweiterung von OAuth 2.0, die Authentifizierung ermöglicht. Es fĂŒhrt das ID Token ein, das folgende Daten enthĂ€lt:

  • User-ID
  • Weitere Infos zum Nutzer
  • BestĂ€tigung, dass der Nutzer eingeloggt ist

Wie arbeiten OAuth und OpenID Connect zusammen?

  • OAuth 2.0 → regelt Datenzugriff
  • OpenID Connect → bestĂ€tigt die IdentitĂ€t

Kombiniert entsteht ein vollstÀndiges Login-System.

Eine einfache Analogie

  • OAuth = HaustĂŒrschlĂŒssel (Zugang)
  • OpenID Connect = Ausweis (IdentitĂ€t)

Beides löst unterschiedliche Aufgaben, wird aber oft gemeinsam verwendet.

Warum ist das wichtig?

  • Ohne OpenID Connect: kein sicheres Login via Google
  • Ohne OAuth: kein sicherer Datenzugriff fĂŒr Apps

Deshalb nutzen moderne Dienste fast immer beide Standards zusammen.

Sicherheit von OAuth 2.0

OAuth 2.0 gilt als sicher - vorausgesetzt, es wird korrekt implementiert und der Nutzer bleibt aufmerksam. Hier die wichtigsten Schutzmechanismen und Risiken:

Warum wird das Passwort nicht ĂŒbertragen?

  • Das Passwort wird nur bei Google eingegeben.
  • Die Drittanbieter-Website sieht und speichert es nie.

Dadurch werden Risiken wie:

  • Datenbank-Leaks
  • Passwort-Abgriff
  • Wiederverwendung auf verschiedenen Seiten

deutlich reduziert. Selbst bei einem Hack erhÀlt niemand direkten Zugang zu Ihrem Google-Account.

EingeschrÀnkte Zugriffsrechte

  • Jede Anwendung fordert konkrete Berechtigungen an (z.B. nur E-Mail, Zugriff auf Dateien oder Kalender).
  • Sie sehen diese Liste immer vor der BestĂ€tigung.

Apps können nie mehr bekommen, als von Ihnen erlaubt.

TemporÀre Tokens

  • Access Token sind zeitlich begrenzt und laufen automatisch ab.
  • Refresh Tokens werden separat gespeichert und verlĂ€ngern den Zugriff.

So werden Auswirkungen möglicher Leaks minimiert.

HauptsÀchliche Risiken

  1. Phishing: GefÀlschte Loginseiten, die wie Google aussehen.
  2. VerdÀchtige Anwendungen: Services, die zu viele Rechte wollen.
  3. Unsichere Implementierungen: Entwicklerfehler, z.B. Token-Leaks.

So schĂŒtzen Sie sich

  • PrĂŒfen Sie die Seitenadresse (immer google.com!).
  • Erteilen Sie Unbekannten keinen Zugriff.
  • Kontrollieren Sie regelmĂ€ĂŸig die Liste verbundener Apps.
  • Nutzen Sie Zwei-Faktor-Authentifizierung.

Wann ist OAuth wirklich sicher?

  • Wenn es sich um einen offiziellen Anbieter handelt (Google, Apple etc.)
  • Wenn Sie genau wissen, welche Daten Sie freigeben

OAuth macht ein System nicht automatisch sicher - aber bei richtiger Nutzung ist es eines der sichersten Autorisierungsverfahren.

Wo kommt OAuth 2.0 im Alltag zum Einsatz?

OAuth 2.0 ist heute Internet-Standard - Sie nutzen es tÀglich, oft ohne es zu merken.

Soziale Netzwerke & Schnellanmeldung

  • "Mit Google anmelden"
  • "Mit Facebook anmelden"
  • "Mit Apple anmelden"

Damit sparen Sie sich die Account-Erstellung und das Merken neuer Passwörter - ein Klick genĂŒgt. Diese Methode wird auf Websites, in Apps und sogar in Spielen genutzt.

Apps & Dienste

OAuth wird hÀufig in mobilen und Web-Apps verwendet:

  • Notizdienste
  • Cloud-Speicher
  • CRM- und Business-Tools
  • Online-Editoren

Beispiel: Eine App kann Zugriff auf Ihren Google Drive erhalten, um Dateien zu speichern - natĂŒrlich nur mit Ihrer Erlaubnis.

APIs & Integrationen

OAuth ist die Grundlage moderner Service-Integrationen:

  • Ein Telegram-Bot erhĂ€lt Zugriff auf Benutzerdaten
  • Ein Analysedienst verbindet sich mit Google Analytics
  • Eine App synchronisiert Daten mit Ihrem Kalender

OAuth sorgt hier fĂŒr:

  • sicheren Datenaustausch
  • Verzicht auf Passwortweitergabe
  • begrenzten Zugriff

Unternehmenslösungen

Im Business-Umfeld wird OAuth genutzt fĂŒr:

  • Single Sign-On (SSO)
  • Zugriffsverwaltung fĂŒr Mitarbeiter
  • Integration interner Services

Das vereinfacht Prozesse und erhöht die Sicherheit.

Warum ist OAuth Standard geworden?

  • Benutzerfreundlichkeit
  • Sicherheit (keine Passwortweitergabe)
  • FlexibilitĂ€t (verschiedene Zugriffsebenen)
  • UniversalitĂ€t (von Webseiten bis APIs)

Fast jeder moderne Service nutzt heute OAuth oder vergleichbare Technologien.

Fazit

OAuth 2.0 ist das Fundament moderner Online-Authentifizierung. Es ermöglicht schnellen, sicheren Zugang zu Diensten - ohne neue Passwörter.

Das Grundprinzip: Sie teilen nie Ihr Passwort, sondern vergeben eine begrenzte Zugriffserlaubnis.

So bleibt OAuth fĂŒr Nutzer komfortabel und fĂŒr Dienste sicher. In der Praxis nutzen Sie dieses System tĂ€glich - beim Google-Login, beim Verbinden von Apps oder in Online-Services.

Wichtig: PrĂŒfen Sie stets, welche Zugriffsrechte Sie erteilen und welchen Diensten Sie vertrauen.

HĂ€ufige Fragen zu OAuth 2.0

Ist die Anmeldung ĂŒber Google sicher?

Ja, solange Sie sich auf der offiziellen Google-Seite befinden.

Kann eine Website mein Passwort erhalten?

Nein, Ihr Passwort bleibt ausschließlich bei Google.

Was tun, wenn ich einer App Zugriff gegeben habe?

Sie können in Ihren Kontoeinstellungen jederzeit den Zugriff widerrufen.

Worin unterscheidet sich OAuth vom klassischen Login?

Beim klassischen Login geben Sie Nutzername und Passwort weiter. Bei OAuth autorisieren Sie einen Drittanbieter - Ihr Passwort bleibt sicher.

Tags:

oauth
authentifizierung
autorisation
token
sicherheit
login
google
openID

Ähnliche Artikel

JWT Token einfach erklĂ€rt: Authentifizierung & Sicherheit fĂŒr moderne Webanwendungen
JWT Token einfach erklĂ€rt: Authentifizierung & Sicherheit fĂŒr moderne Webanwendungen
JWT Token ermöglichen eine sichere, skalierbare Authentifizierung ohne serverseitige Sessions. Erfahren Sie, wie JWT funktioniert, warum es in APIs, mobilen Apps und Microservices zum Einsatz kommt und worauf Sie bei Sicherheit und Anwendung achten sollten. Vergleichen Sie Sessions und JWT und lernen Sie die Unterschiede zwischen Access und Refresh Token kennen.
10. Apr. 2026
9 Min
So bewahren Sie Passwörter sicher auf: Methoden & Tools im Vergleich
So bewahren Sie Passwörter sicher auf: Methoden & Tools im Vergleich
Sichere Passwort-Aufbewahrung schĂŒtzt vor Datenklau und IdentitĂ€tsdiebstahl. Erfahren Sie, wie Sie Passwörter richtig verwalten und welche Tools maximale Sicherheit bieten. Tipps zu Passwort-Managern, 2FA und den besten Aufbewahrungsmethoden.
15. Sept. 2025
3 Min