API-Keys, mTLS, OAuth2 oder JWT? Welche Authentifizierung passt zum API-Projekt?

Die Verbreitung von APIs hat die Angriffsoberfläche vieler Unternehmen erhöht. Nicht überall hat die Sicherheit entsprechend mitgehalten.

Tobias demonstriert und vergleicht verschiedene Authentifizierungsmethoden. Neben Mutual-TLS, API-Keys, Benutzernamen/Passwörtern geht er näher auf Tokens ein, also OAuth2 und OpenID Connect (OIDC) am Beispiel von Microsoft Entra ID.

Die Authentifizierungsmethoden werden anhand verschiedener Sicherheitskriterien und -eigenschaften kategorisiert. Es wird dargelegt, wie man sich dem Kriterium der wirtschaftlichen Effizienz von Sicherheitsmaßnahmen nähern kann.

Vorkenntnisse

Teilnehmer sollten ein grundlegendes Verständnis von APIs mitbringen. Das Request-Response-Muster von HTTP/HTTPS sollte bekannt sein.

Lernziele

• Die Teilnehmer können nach dem Vortrag die Authentifizierungsmethoden miteinander vergleichen sowie Vor- und Nachteile gegeneinander abwägen.
  
• Sie sind in der Lage, eigenständig einzuschätzen, ob eine Authentifizierungslösung für ihren Anwendungsfall geeignet ist oder nicht.
  
• Für die gezeigten Arten der Authentifizierung kennen sie Quellen, um Verständnis zu vertiefen oder Proof-of-Concept-Projekte aufzusetzen.