Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

API-Keys, mTLS, OAuth2 oder JWT? Welche Authentifizierung passt zum API-Projekt?

Die Verbreitung von APIs hat die Angriffsoberfläche vieler Unternehmen erhöht. Nicht überall hat die Sicherheit entsprechend mitgehalten.

Tobias demonstriert und vergleicht verschiedene Authentifizierungsmethoden. Neben Mutual-TLS, API-Keys, Benutzernamen/Passwörtern geht er näher auf Tokens ein, also OAuth2 und OpenID Connect (OIDC) am Beispiel von Microsoft Entra ID.

Die Authentifizierungsmethoden werden anhand verschiedener Sicherheitskriterien und -eigenschaften kategorisiert. Es wird dargelegt, wie man sich dem Kriterium der wirtschaftlichen Effizienz von Sicherheitsmaßnahmen nähern kann.

Vorkenntnisse

Teilnehmer sollten ein grundlegendes Verständnis von APIs mitbringen. Das Request-Response-Muster von HTTP/HTTPS sollte bekannt sein.

Lernziele

  • Die Teilnehmer können nach dem Vortrag die Authentifizierungsmethoden miteinander vergleichen sowie Vor- und Nachteile gegeneinander abwägen.
  • Sie sind in der Lage, eigenständig einzuschätzen, ob eine Authentifizierungslösung für ihren Anwendungsfall geeignet ist oder nicht.
  • Für die gezeigten Arten der Authentifizierung kennen sie Quellen, um Verständnis zu vertiefen oder Proof-of-Concept-Projekte aufzusetzen.

Speaker

 

Tobias Polley
Tobias Polley ist seit über zehn Jahren Softwarearchitekt. Er unterstützt Kunden operativ dabei, zielorientiert ein Mehr an Sicherheit zu erreichen. Als Sprecher auf Konferenzen in den Niederlanden, England und in Australien ist er genauso bekannt wie in Deutschland.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden