1 00:00:00,220 --> 00:00:09,230 Was? Moin zufolge 50 der großen 2 00:00:09,230 --> 00:00:12,270 Jubiläumsfolge von einfach komplex heute wieder nur mit 3 00:00:12,270 --> 00:00:14,070 Burkhardt und Mia. Moin Moin. 4 00:00:14,350 --> 00:00:17,190 Moin ihr Lieben. Genau, ja, 50. 5 00:00:17,190 --> 00:00:19,270 Eigentlich wollten wir das schon unter einem Jahr erledigt haben, 6 00:00:19,270 --> 00:00:22,550 aber jetzt sind wir am 2 Wochen Takt, also hat es ein bisschen 7 00:00:22,550 --> 00:00:24,830 länger gedauert, ist ja aber nicht so schlimm würde ich 8 00:00:24,830 --> 00:00:25,950 sagen. Burkhard, Was hast du 9 00:00:25,950 --> 00:00:27,750 mitgebracht für heute, was besprechen wir? 10 00:00:27,830 --> 00:00:31,550 Ja, ich weiß gar nicht, wie mir geschah die Jubiläumsfolge und 11 00:00:31,550 --> 00:00:35,190 so ein krasses Thema also tatsächlich jetzt nach 50 12 00:00:35,190 --> 00:00:38,270 folgen, traue ich mich endlich mal über Authentifizierung und 13 00:00:38,270 --> 00:00:41,960 Autorisierung zu sprechen. Alleine die Worte lassen ja 14 00:00:41,960 --> 00:00:44,240 manchen Leuten die Nacken, also mir auch die Nackenhaare 15 00:00:44,240 --> 00:00:45,960 hochstehen. Komplex ist. 16 00:00:45,960 --> 00:00:49,240 Sehr kompliziertes Thema kann man sich über Kopf und Kragen 17 00:00:49,240 --> 00:00:53,360 reden, ja, ist ein Dickicht, dann ist auch entsprechend viel 18 00:00:53,360 --> 00:00:56,440 passiert im Web, es gibt viele Fehlinformationen, es gibt 19 00:00:57,000 --> 00:00:59,240 glaube ich auch viel schlechte Implementierung und alles und 20 00:00:59,240 --> 00:01:02,640 wir versuchen mal so ein ganz bisschen die Taschenlampe 21 00:01:02,640 --> 00:01:05,680 reinzuhalten was da so los ist und ein bisschen. 22 00:01:05,910 --> 00:01:08,670 Klarheit zu schaffen glaub ich in dem Riesenthema. 23 00:01:08,670 --> 00:01:11,430 Ja, wir werden es einfach so n bisschen durchgehend versuchen. 24 00:01:11,750 --> 00:01:13,990 Wir können das nicht in jeder Tiefe machen, das ist ganz klar, 25 00:01:13,990 --> 00:01:18,030 also dass man so ja vielleicht mal so ne Grundsatz Ahnung hat 26 00:01:18,030 --> 00:01:20,110 von allem, ja das wär der Plan für heute. 27 00:01:20,110 --> 00:01:21,630 Ja, wunderbar, das klingt doch ganz gut. 28 00:01:21,710 --> 00:01:25,190 Ich glaube, das ist allen Zuhörenden ganz lieb, wenn wir 29 00:01:25,190 --> 00:01:27,870 das nicht in der letzten Tiefe machen, aber fangen wir an. 30 00:01:29,840 --> 00:01:31,120 Wie fangen wir an? Lass uns doch allgemein einmal 31 00:01:31,120 --> 00:01:33,880 erklären, was ist Authentifizierung und was ist 32 00:01:33,880 --> 00:01:36,400 Autorisierung und ich muss auch schon tierisch aufpassen. 33 00:01:36,720 --> 00:01:40,160 Die Worte, richtig, ich glaube so der klassische Begriff, man 34 00:01:40,160 --> 00:01:43,520 sagt immer so Authorization Rums und meint eigentlich alles. 35 00:01:43,520 --> 00:01:46,840 Und es ist auch ein bisschen akademisches Aufzudröseln. 36 00:01:47,080 --> 00:01:49,800 Aber tatsächlich muss man wirklich technisch und auch 37 00:01:49,800 --> 00:01:52,560 inhaltlich unterscheiden zwischen Authentifizierung und 38 00:01:52,560 --> 00:01:54,960 Autorisierung, also Authentication oder 39 00:01:54,960 --> 00:01:58,240 Authorization, und die machen nämlich ganz verschiedene 40 00:01:58,240 --> 00:02:00,280 Sachen, und das kann man ganz schnell erklären. 41 00:02:00,520 --> 00:02:02,720 Bei der Authentifizierung geht es darum. 42 00:02:03,440 --> 00:02:06,200 Dass ich wissen möchte, mit wem ich spreche und bei der 43 00:02:06,200 --> 00:02:09,229 Autorisierung. Geht es mir darum, dass ich 44 00:02:09,229 --> 00:02:13,350 weiß, wenn ich schon weiß, mit wem ich spreche, was derjenige 45 00:02:13,350 --> 00:02:17,150 darf an Rechten, das kann der sehen, manipulieren und so 46 00:02:17,150 --> 00:02:19,990 weiter. Also das eine noch mal gesagt, 47 00:02:19,990 --> 00:02:23,310 das eine erklärt, wem spreche ich überhaupt, ich will mir 48 00:02:23,310 --> 00:02:25,710 sicher sein, dass ich zum Beispiel genau Gerrit Meyer 49 00:02:25,710 --> 00:02:28,670 eingeloggt hat bei mir. Ich habe Gerrit Meyer am Rohr, 50 00:02:29,110 --> 00:02:31,390 dann habe ich ihn authentifiziert, wenn ich das 51 00:02:31,390 --> 00:02:33,710 weiß. Und wenn ich das weiß, und das 52 00:02:33,710 --> 00:02:37,430 ist ne Reihenfolge, erst dann kann ich den Gerrit autorisieren 53 00:02:37,750 --> 00:02:41,510 auf bestimmte Ressourcen, beispiel Kontakte von ihm und so 54 00:02:41,510 --> 00:02:44,030 weiter zuzugreifen. Das ist ganz wichtig. 55 00:02:44,030 --> 00:02:46,390 Das aber das ist ja auch ganz einfach, also das kann man sich 56 00:02:46,390 --> 00:02:48,670 einfach abspeichern, und das ist schon immer so gewesen und gilt 57 00:02:48,670 --> 00:02:50,350 für alles. Ja, nee, das ist tatsächlich 58 00:02:50,350 --> 00:02:51,870 einfach. Also Authentifizierung kommt 59 00:02:51,870 --> 00:02:54,350 immer vor der Autorisierung. Ja, jetzt hast du ein Beispiel 60 00:02:54,350 --> 00:02:59,070 gemacht mit einer Person, aber. Trifft das auch zu auf Programme 61 00:02:59,070 --> 00:03:02,070 oder programmatische Kommunikation zwischen Computern 62 00:03:02,070 --> 00:03:04,590 oder in Netzwerken oder sowas? Ja, kann man so sagen. 63 00:03:04,590 --> 00:03:08,230 Genau ja, das ist irgendwie ne Client ID oder irgendwie aber 64 00:03:08,230 --> 00:03:10,110 also wir sprechen heute so n bisschen über. 65 00:03:10,990 --> 00:03:13,470 Wir wollen auch noch ansprechen und so weiter also wir, wir 66 00:03:13,470 --> 00:03:16,190 gehen mal davon aus, dass wir auch ne Person haben erstmal. 67 00:03:17,840 --> 00:03:21,120 Wir authentifizieren wollen und dann wollen wir Autorisierung 68 00:03:21,120 --> 00:03:23,310 auch gestatten und so weiter. Weil wir die erstmal bei 69 00:03:23,310 --> 00:03:25,070 bleiben, sonst wird das Thema gleich schon wieder riesig 70 00:03:25,070 --> 00:03:26,710 komplex. So jetzt die ganzen. 71 00:03:27,390 --> 00:03:30,190 Aber ja du hast recht. Gut ja, ist doch gut, wenn wir 72 00:03:30,190 --> 00:03:33,030 die, wenn wir das Thema hier begrenzen, an der Stelle, ja, 73 00:03:33,070 --> 00:03:34,990 ich schätze mal, wir werden wahrscheinlich manchmal auch 74 00:03:35,270 --> 00:03:37,950 Authentication and authorization, also die 75 00:03:37,950 --> 00:03:40,510 englische Begriffe nutzen. Ja, durcheinander, aber das 76 00:03:40,510 --> 00:03:42,470 wisst ihr jetzt genau. Immer das Gleiche gemeint. 77 00:03:42,470 --> 00:03:46,390 Ja genau, wieso ist das so ein wichtiges Thema, dass wir dem 78 00:03:46,390 --> 00:03:50,550 eine Folge widmen. Na ja, das hat ja überhaupt der 79 00:03:50,550 --> 00:03:52,950 ganzen Sicherheit vom Netz und den Ganzen. 80 00:03:53,150 --> 00:03:56,550 Also wir sind ja im Zeitalter, wo wir relativ viele Daten im 81 00:03:56,550 --> 00:03:59,750 Netz haben, in der Cloud haben, man hat sehr viel persönliche 82 00:03:59,750 --> 00:04:02,670 Daten bei Facebook vielleicht ich nicht, aber oder bei Google 83 00:04:02,670 --> 00:04:06,470 ja, oder und mein mein Banking Account und so weiter und es ist 84 00:04:06,470 --> 00:04:09,950 ja lebensnotwendig, dass die Anwendung, die unsere Daten 85 00:04:09,950 --> 00:04:13,550 halten, genau wissen, wann wir auch tatsächlich am Rohr sind 86 00:04:13,710 --> 00:04:16,430 und was wir dann lesen dürfen oder was zum Beispiel andere, 87 00:04:16,430 --> 00:04:18,510 die wir einladen, zum Beispiel um irgendwas zu scheren oder 88 00:04:18,510 --> 00:04:21,070 irgendsowas, was die dann dürfen, aber die. 89 00:04:21,310 --> 00:04:23,470 Sind nur Teilbereiche von unseren Daten, sehen aber nicht 90 00:04:23,470 --> 00:04:27,070 alle und so weiter also ganz krass essentiell für das ganze 91 00:04:27,070 --> 00:04:28,630 Funktionieren des modernen Internets? 92 00:04:28,630 --> 00:04:31,910 Eigentlich ja, und ich weiß nicht, ihr kennt es ja, also 93 00:04:32,150 --> 00:04:36,630 jede mobile App, jede, ich sag mal fast jede Saßanwendung ne, 94 00:04:36,630 --> 00:04:39,550 also nicht jede Webseite, die nur statischen Content bietet, 95 00:04:39,550 --> 00:04:42,390 aber überall da wo ich mal irgendwas hinterlasse an meinen 96 00:04:42,390 --> 00:04:46,310 Daten oder Einstellungen, fast überall werde ich dann quasi 97 00:04:46,790 --> 00:04:48,870 authentifiziert. Ja, also ich muss irgendwie 98 00:04:48,870 --> 00:04:51,950 Usernamen Passwort eingeben oder mindestens Login via Google oder 99 00:04:51,950 --> 00:04:53,190 Irgendsowas kann man später dazu. 100 00:04:54,240 --> 00:04:56,080 Weil ansonsten ist ja der Kram irgendwie anonym. 101 00:04:56,080 --> 00:04:57,880 Dann kannst du es später nicht mehr, dann kannst du es später 102 00:04:57,880 --> 00:04:59,960 ja nicht mehr zuordnen, nicht mehr zurückfinden müssen wir. 103 00:04:59,960 --> 00:05:01,520 Vielleicht später noch mal drüber reden, was mir gerade 104 00:05:01,520 --> 00:05:03,680 einfällt ist Apps, weil du Apps angesprochen hast. 105 00:05:03,680 --> 00:05:06,160 Wenn ich an mein Telefon denke, muss ich mich ja nicht bei jeder 106 00:05:06,160 --> 00:05:09,080 App jedes Mal wieder einloggen. Also es gibt ja durchaus Apps. 107 00:05:09,840 --> 00:05:12,160 Wo du warst, dann aber mal eingeloggt, weil deine App dann 108 00:05:12,160 --> 00:05:14,360 halt ein Google Konto hinten liegen hat und dann bist du halt 109 00:05:14,360 --> 00:05:16,960 eingeloggt oder oder bei der Login bestehen bleibt oder 110 00:05:16,960 --> 00:05:18,920 bestehen bleibt genau das vielleicht später noch mal drauf 111 00:05:18,920 --> 00:05:20,200 kommen. Ich glaube das ist ein Thema für 112 00:05:20,200 --> 00:05:22,640 die für die Sessions dann oder so, aber jetzt hast du gesagt. 113 00:05:23,630 --> 00:05:25,390 Das ganze Thema hat ne gewisse Geschichte. 114 00:05:25,390 --> 00:05:26,950 Also das ist steht bei uns auf der Agenda. 115 00:05:26,950 --> 00:05:30,550 Ja, ja genau, also wie fing es an beziehungsweise was war 116 00:05:30,550 --> 00:05:33,110 früher anders als es dann heute ist. 117 00:05:33,670 --> 00:05:35,990 Ja, man kann ja erst überhaupt mal Authentifizierung und 118 00:05:35,990 --> 00:05:38,110 Autorisierung erstmal ganz einfach besprechen, wie man das 119 00:05:38,110 --> 00:05:40,710 mal so das ist, das hilft ja auch, um das mal einzuordnen, 120 00:05:40,710 --> 00:05:43,270 was passiert technisch so ganz grob und so, so wurde es 121 00:05:43,270 --> 00:05:45,070 tatsächlich früher auch implementiert, weil es noch gar 122 00:05:45,070 --> 00:05:47,350 nicht gar keine wilderen Technologien gab. 123 00:05:47,350 --> 00:05:49,550 Ja, und dann wird, wenn wir davon sprechen, dann haben wir, 124 00:05:49,790 --> 00:05:52,870 dann haben wir die klassischen Parteien, dann haben wir den 125 00:05:52,870 --> 00:05:57,230 Klienten den Browser, wo du zum Beispiel Vorsitz Gerrit, und da 126 00:05:57,230 --> 00:05:59,510 ist typischerweise ein Formfeld drin, das kennt ja jeder 127 00:05:59,510 --> 00:06:02,750 irgendwie Username und Passwort oder E-Mail und Passwort, was 128 00:06:02,750 --> 00:06:05,870 ich dann da eintippe, um mich jetzt zu authentifizieren. 129 00:06:06,600 --> 00:06:10,040 Und dann hat man, das war jetzt ich, spreche so in der Zeit von 130 00:06:10,040 --> 00:06:15,480 2006 / 2007 herum, 2007 mal zur Einordnung kam das erste iphone 131 00:06:15,480 --> 00:06:18,520 raus, da haben wir ungefähr da war, das sind ja jetzt 132 00:06:18,520 --> 00:06:20,360 irgendwie, ich weiß gar nicht, wie viele Jahre rückwärts, so 133 00:06:20,360 --> 00:06:22,720 schnell kann ich gar nicht. Rechnen. 134 00:06:23,520 --> 00:06:26,360 Aber voll krass. Also so ein ein Webjahr ist ja 135 00:06:26,360 --> 00:06:29,360 ist ja was anderes als ein Kalenderjahr sage ich mal. 136 00:06:29,360 --> 00:06:32,160 Also da waren Zeiten noch ganz anders, aber da gab es natürlich 137 00:06:32,160 --> 00:06:34,320 auch schon Webseiten und da konnte ich mich ja authentisch 138 00:06:34,320 --> 00:06:36,470 authentifizieren. Und dann hatten die 139 00:06:36,470 --> 00:06:40,310 typischerweise ne Datenbank, die war halt ganz strikt an diese, 140 00:06:40,310 --> 00:06:41,950 an diesen ne. Es gab ja nur n Server, der hat 141 00:06:41,950 --> 00:06:44,110 quasi Webseite geliefert und an dem Server direkt dran meine 142 00:06:44,110 --> 00:06:47,670 Datenbank und da stand halt und wie funktioniert das da steht 143 00:06:47,670 --> 00:06:51,070 halt in der in der Datenbank drin Username und Passwort und 144 00:06:51,070 --> 00:06:53,070 wenn du dann halt deinen Username und Passwort eingibst, 145 00:06:53,070 --> 00:06:56,390 dann wird halt geguckt in der Datenbank gibt es zu diesem 146 00:06:56,390 --> 00:06:59,550 Username dieses Passwort was er da gerade eingegeben hat und 147 00:06:59,550 --> 00:07:03,630 hier ist schon mindestens erste kleine Sicherheits dings dieses 148 00:07:03,630 --> 00:07:05,710 Passwort wird typischerweise wenn man es dann irgendwie 149 00:07:05,710 --> 00:07:08,870 geschickt macht nicht im Plain Text wie man so schön sagt eine 150 00:07:08,870 --> 00:07:12,550 Datenbank abgespeichert. Gehascht das Wort Hash hat mir 151 00:07:12,550 --> 00:07:16,110 schon ganz oft, ist halt einfach nur ne Funktion, wo man quasi 152 00:07:16,590 --> 00:07:18,150 nur einen Weg Verschlüsselung hat. 153 00:07:18,150 --> 00:07:20,710 Ne, also das echte Passwort, das kennst genau du, das tippst du 154 00:07:20,710 --> 00:07:24,590 ein, dann geht es hoffentlich über TLS Verschlüsselung also 155 00:07:24,590 --> 00:07:27,630 auch nicht mitlesbar. Also nicht per Platex rüber an 156 00:07:27,630 --> 00:07:31,510 den Server und da wird eine Hash Funktion drauf angewendet und 157 00:07:31,510 --> 00:07:35,030 dann kommt irgendwas kryptisches raus und dieses kryptische hast 158 00:07:35,030 --> 00:07:37,350 du beim hast ja vorher schon mal angelegt beim sogenannten 159 00:07:37,350 --> 00:07:39,230 Signeup, dann wird einfach nur verglichen. 160 00:07:39,230 --> 00:07:41,350 Ist dieses kryptische das gleiche was da vorher kryptisch 161 00:07:41,350 --> 00:07:42,870 angelegt war? Wenn ja, dann ist wohl das 162 00:07:42,870 --> 00:07:45,510 Passwort richtig und was dann passierte ist eigentlich dann 163 00:07:45,510 --> 00:07:48,870 entsteht ein sogenanntes Fashion Token, also den Begriff der 164 00:07:48,870 --> 00:07:51,830 Session, der ist wichtig den wir heute besprechen, der Session 165 00:07:51,830 --> 00:07:55,750 ist einfach nur ja eine gültige Session ist quasi die Zeit in 166 00:07:55,750 --> 00:07:58,590 der ich gültig eingeloggt bin Punkte aus, so kann man es 167 00:07:58,590 --> 00:08:00,990 eigentlich sagen ja und diese Session Token es wird quasi 168 00:08:00,990 --> 00:08:03,430 zurückgeschickt zu diesem Browser der jetzt diesen Request 169 00:08:03,430 --> 00:08:06,310 abgegeben hat und dann eigentlich in Form von einem 170 00:08:06,310 --> 00:08:09,120 Keks von einem Cookie. Abgespeichert. 171 00:08:09,800 --> 00:08:11,600 Das hat den Vorteil. Cookies gab es damals auch 172 00:08:11,600 --> 00:08:14,480 schon, das hat den Vorteil, dass mit jedem weiteren Request gegen 173 00:08:14,480 --> 00:08:19,400 den Server automatisch diese Session Token das quasi dir 174 00:08:19,400 --> 00:08:21,680 sagt, okay, du bist halt, du hast mal eine valide 175 00:08:21,680 --> 00:08:24,840 Authentifizierung hinter dir, zum Server gescheckt und der 176 00:08:24,840 --> 00:08:27,510 kann dann quasi immer überprüft. Ja, stimmt das noch? 177 00:08:27,510 --> 00:08:29,230 Ist das das Session Token was ich erwarte? 178 00:08:29,430 --> 00:08:31,230 Ja, also ist der Gerrit hier noch am Rohr? 179 00:08:31,230 --> 00:08:34,150 Ich spreche mit dem richtigen als Klima so so so klar und so 180 00:08:34,150 --> 00:08:37,070 einfach ist das eigentlich. Ja, das war jetzt für das 181 00:08:37,070 --> 00:08:40,230 Internet schon ne du sagst ne Website, also wir sprechen heute 182 00:08:40,230 --> 00:08:42,390 von Webtechnologien im Prinzip. Wie ist es denn, wenn ich 183 00:08:42,390 --> 00:08:44,750 einfach in der Zeit, ja, hatte ich wahrscheinlich noch viel 184 00:08:44,750 --> 00:08:47,790 mehr Programme, die einfach auf meinem Rechner gelaufen sind und 185 00:08:47,790 --> 00:08:50,750 da lokal installiert waren, vermutlich ähnlich oder also 186 00:08:50,750 --> 00:08:53,310 einfach im User, dem Passwort und Teil dieses Programms war 187 00:08:53,310 --> 00:08:56,110 eine Datenbank, wo einfach schon dieser Username und dieses 188 00:08:56,110 --> 00:08:57,590 Passwort hinterlegt sein mussten. 189 00:08:57,590 --> 00:08:59,630 Ja klar, aber wenn du so denkst, Desktop, Anwendungen und so 190 00:08:59,630 --> 00:09:01,790 weiter da war ja gar kein, das war ja das Internet für dich 191 00:09:01,790 --> 00:09:05,110 notwendig, das hättest du ja auch ohne Netzwerkkabel dann 386 192 00:09:05,110 --> 00:09:07,550 oder was weiß gar nicht was es da gab unter Windows, da ist das 193 00:09:07,550 --> 00:09:10,200 halt das Betriebssystem. Da weißt du ja, du kannst ja 194 00:09:10,200 --> 00:09:13,280 beim Windows auch. Also oft gab es das gar nicht, 195 00:09:13,280 --> 00:09:16,080 du musst das nicht, du kannst beim Windows ja eingeben, ich 196 00:09:16,080 --> 00:09:18,680 möchte mich als User mit dem Passwort, wenn das Windows 197 00:09:18,680 --> 00:09:21,920 startet authentifizieren und dann gibt es ja bestimmte 198 00:09:21,920 --> 00:09:23,440 Bereiche. Es gab damals schon von Windows, 199 00:09:23,440 --> 00:09:25,880 die dann halt nur für dich sind. Aber das ist jetzt meine, ist 200 00:09:25,880 --> 00:09:27,920 also, das ist jetzt keine Erfindung des Wertes. 201 00:09:28,070 --> 00:09:30,430 Oder sowas gibt. Es schon viel länger, das ist 202 00:09:30,430 --> 00:09:33,470 schon klar, das ist was, was man immer zum Einloggen, das konnten 203 00:09:33,470 --> 00:09:35,550 schon die alten Griechen, ne, vielleicht nicht ganz so lange, 204 00:09:35,550 --> 00:09:38,190 aber im Prinzip ja genau ja, na du hast es jetzt gleich bezogen 205 00:09:38,190 --> 00:09:40,550 auf auf Web, weil das eigentlich das einzige Relevante heutzutage 206 00:09:40,550 --> 00:09:44,070 genau alles andere ist. Genau und ich würde sagen alles 207 00:09:44,070 --> 00:09:46,110 andere was nicht web ist würde mindestens von dem was ich 208 00:09:46,110 --> 00:09:48,870 gerade gesagt habe mit so einer Art Datenbankabgleich passt. 209 00:09:48,870 --> 00:09:52,110 Username zu Passwort und das Passwort, dass ich das Encrypted 210 00:09:52,110 --> 00:09:55,950 quasi hinspeichere und nicht im Plaintext so so würde auch jedes 211 00:09:55,950 --> 00:09:58,150 andere System, es gibt ja nicht überall Internet, es gibt 212 00:09:58,150 --> 00:10:00,430 tatsächlich auch relevante Edge Cases, wir können ja zum 213 00:10:00,430 --> 00:10:04,510 Beispiel gucken Oti edge wo. Keine Info, kein Internet hast 214 00:10:04,510 --> 00:10:06,790 aber du willst quasi irgendwie was weiß ich ne SPS mal 215 00:10:06,790 --> 00:10:09,190 authentifizieren oder irgendsowas, aber da könnte man 216 00:10:09,190 --> 00:10:11,590 das halt auch so machen. Ne gut verstanden, ist ja 217 00:10:11,590 --> 00:10:13,310 eigentlich erstmal relativ trivial. 218 00:10:13,350 --> 00:10:15,270 Schlicht und einfach genau. Relativ trivial. 219 00:10:15,270 --> 00:10:15,910 Genau. Und dann? 220 00:10:15,910 --> 00:10:17,230 Autorisierung wird es wahrscheinlich auch. 221 00:10:17,230 --> 00:10:18,750 Noch erklären, wie das Ja genau Autorisierung ist. 222 00:10:18,750 --> 00:10:20,710 Dann aber das ist dann auch eigentlich einfach dann, das 223 00:10:20,710 --> 00:10:23,150 kann man dann implementieren, das wurde auch so gemacht, da 224 00:10:23,190 --> 00:10:26,350 gibt es im Prinzip keinen Standard zu, dann speicherst du 225 00:10:26,350 --> 00:10:28,550 halt quasi, wenn du erstmal weißt, mit wem du sprichst, dann 226 00:10:28,550 --> 00:10:30,830 kannst du natürlich in der Datenbank hinterlegen, 227 00:10:30,830 --> 00:10:33,310 typischerweise steht, dann gibt es eine User id. 228 00:10:34,390 --> 00:10:35,990 Name, das wäre dann Deine E-Mail-Adresse, 229 00:10:35,990 --> 00:10:38,390 gerrit.meier@heißenwer.com oder irgend sowas. 230 00:10:38,630 --> 00:10:41,430 Und dann gibt es in der Datenbank ne ID zu dir und mit 231 00:10:41,430 --> 00:10:43,830 der ID wird in einem anderen Tabelle typischerweise deine 232 00:10:43,830 --> 00:10:46,510 Rechte festgelegt, was du denn darfst, wenn du eingeloggt bist. 233 00:10:46,510 --> 00:10:49,870 Ja und sowas und ich sag mal was dieser Rechte die du hast, die 234 00:10:49,870 --> 00:10:53,310 hast du auf dem englischen Scope, es kommt auch später von 235 00:10:53,310 --> 00:10:56,910 einem Scope und typischerweise sind das so Sachen wie E-Mail, 236 00:10:56,910 --> 00:11:01,830 read contact, doppelpunkt, ride, delete und so weiter und sofort 237 00:11:01,830 --> 00:11:04,550 also so und wie man das genau formuliert und wie das genau 238 00:11:04,550 --> 00:11:07,910 ausgedrückt ist. Sind Standards, hat jeder so 239 00:11:07,910 --> 00:11:10,710 gemacht wie er Bock hat, aber man speichert irgendwohin. 240 00:11:10,710 --> 00:11:12,790 Was darf denn der jetzt? Ja, wenn man es überhaupt 241 00:11:12,790 --> 00:11:15,670 implementiert, ja ganz viele einfache Sachen damals waren ja. 242 00:11:16,670 --> 00:11:19,950 Ohne Autorisierung im Prinzip. Also du hast ja einfach 243 00:11:20,190 --> 00:11:22,910 authentifiziert und damit warst du in allem drin, so, ja. 244 00:11:23,030 --> 00:11:25,270 Letztes so n Admin und alle anderen. 245 00:11:25,590 --> 00:11:27,670 Admin und alle anderen oder Irgendsowas ganz genau. 246 00:11:27,710 --> 00:11:32,310 Ja ja so, das war das und und dann gab es natürlich damit, man 247 00:11:32,310 --> 00:11:35,550 könnte jetzt meinen Okay Folge fertig ist ja ganz klar easy. 248 00:11:37,440 --> 00:11:41,440 Ganz so einfach ist es nicht. Ja gut, ich schätze mal, die 249 00:11:41,440 --> 00:11:43,320 Bedarfe haben sich mit der Zeit dann auch geändert. 250 00:11:43,320 --> 00:11:45,760 Ja, also ja genau, und deswegen habe ich auch gesagt, es gab 251 00:11:46,000 --> 00:11:48,680 damals ja noch keine Mobiltelefone und die 252 00:11:48,680 --> 00:11:51,280 Mobiltelefone waren schon so ein Problem dafür, weil im Prinzip 253 00:11:51,280 --> 00:11:54,520 diese, also dieses ganze Gedöns mit dem Cookie und so wie man 254 00:11:54,520 --> 00:11:57,120 das immer so gemacht hatte, das funktionierte bei nativen Apps 255 00:11:57,120 --> 00:11:59,680 auf dem Mobiltelefon erstmal nicht, weil die kannten dieses 256 00:11:59,720 --> 00:12:01,320 dieses Cookie Krams noch nicht so. 257 00:12:01,320 --> 00:12:04,080 Richtig Cookie, das hast du gerade so mit im Schwung, mit 258 00:12:04,080 --> 00:12:08,160 erklärt oder lass es mich wiederholen im Cookie, der wird 259 00:12:08,160 --> 00:12:11,560 ja dann abgelegt auf dem jeweiligen auf dem Klienten, 260 00:12:11,560 --> 00:12:14,680 also im Browser desjenigen, der da versucht sich einzuloggen 261 00:12:14,680 --> 00:12:17,040 oder sich eingeloggt hat und da drin ist dann mit so einem 262 00:12:17,040 --> 00:12:20,550 Session Token und. Beim neuen Anmelden oder neuen 263 00:12:20,550 --> 00:12:22,110 Aufrufen einer Website wird einfach geguckt. 264 00:12:22,110 --> 00:12:25,070 Ist da ein Cookie mit einem noch gültigen Session Token war das 265 00:12:25,070 --> 00:12:26,950 so fast. Genau. 266 00:12:26,950 --> 00:12:28,830 Also es wird nicht geguckt, ist da n Cookie, sondern was 267 00:12:28,830 --> 00:12:31,270 passiert ist. Wenn du n Cookie hast. 268 00:12:31,950 --> 00:12:35,590 Und du nen Aufruf machst dann HTTP Aufruf, dann passiert es 269 00:12:35,590 --> 00:12:37,110 so. Das ist implementiert in den 270 00:12:37,110 --> 00:12:40,190 Browsern, dass der Inhalt des Cookies quasi ran attached wird 271 00:12:40,470 --> 00:12:43,550 an diesen HTTP aufruf, das wird automatisch mitgesendet, da 272 00:12:43,550 --> 00:12:45,310 musst du dich als Programmierer noch nicht mal drum kümmern. 273 00:12:45,310 --> 00:12:48,190 Hast du n Cookie wird quasi die. Die Daten das Cookies einfach 274 00:12:48,190 --> 00:12:50,510 mitgeschickt und das kann der Server dann auslesen. 275 00:12:50,510 --> 00:12:53,350 Genau, aber im Prinzip richtig was du gesagt hast und dann kann 276 00:12:53,470 --> 00:12:56,070 und so n Session Token auch noch mal kurz gesagt ne also Token 277 00:12:56,070 --> 00:12:59,070 Token was ist überhaupt n Token ne n Token ist einfach nur ne 278 00:12:59,070 --> 00:13:02,880 lange Folge also n langer String also ne Abfolge von Charactern. 279 00:13:03,230 --> 00:13:06,030 Randomisiert da. Die müssen keinen inhaltlichen 280 00:13:06,030 --> 00:13:10,430 Zweck haben, außer dass sie einfach einen unikes Token sind, 281 00:13:10,430 --> 00:13:12,790 ein Unique. Tatsache, der Server kann damit 282 00:13:12,790 --> 00:13:14,510 was anfangen, quasi. Richtig. 283 00:13:14,630 --> 00:13:17,190 Hauptsache also du kannst es quasi lesen und deswegen ist 284 00:13:17,190 --> 00:13:19,110 auch nicht schlimm, wenn das irgendwie das Cookie mal 285 00:13:19,110 --> 00:13:22,390 irgendwie jemand liest. Das ist wichtig, ja, wenn dir 286 00:13:22,390 --> 00:13:25,070 das Session Token abhanden kommt und das ein dritter mitliest, 287 00:13:25,270 --> 00:13:27,190 dann kann er vielleicht für die für die Dauer der Session 288 00:13:27,190 --> 00:13:30,710 irgendwas machen, auch schon nicht so cool so, aber diese 289 00:13:30,710 --> 00:13:32,750 Session docken wird ja dann irgendwann erneuert, das hat 290 00:13:32,750 --> 00:13:35,950 meistens eine Expirory also das läuft eine gewisse Zeit nur und 291 00:13:35,950 --> 00:13:38,150 wenn du es halt nicht ständig wieder kommunizierst und das 292 00:13:38,150 --> 00:13:39,990 nicht automatisch erfrischt wird. 293 00:13:40,760 --> 00:13:43,120 Dann läuft das halt irgendwann ab und dann wirst du halt wieder 294 00:13:43,120 --> 00:13:45,280 nach deinem Username und deiner E-Mail gefragt. 295 00:13:45,280 --> 00:13:47,160 Dann geht der ganze ganze Chose von reinem los. 296 00:13:47,160 --> 00:13:50,320 Also es hat keinen Inhalt und der Inhalt dieses Session 297 00:13:50,320 --> 00:13:52,760 Tokens, der fängt erst dann logisch an Sinn zu machen, wenn 298 00:13:52,760 --> 00:13:56,080 der dem Server gezeigt wird. Das Session Token und da steht 299 00:13:56,080 --> 00:13:58,400 in der Datenbank das Session Token ist in der Datenbank auch 300 00:13:58,400 --> 00:14:01,280 eingetragen und dann kann ich genauso in der Datenbank sagen 301 00:14:01,280 --> 00:14:03,720 okay wenn ich dieses Token sehe, dann weiß ich das ist der und 302 00:14:03,720 --> 00:14:06,400 der User die und die Rechte das und das zu tun. 303 00:14:07,350 --> 00:14:10,470 Ist eine Möglichkeit um das jetzt nehm ich was vorweg, was 304 00:14:10,470 --> 00:14:13,230 wir später noch mal haben. Man könnte jetzt schon 305 00:14:13,230 --> 00:14:15,830 akademisch auf die Idee kommen, ja cool, das kann ich natürlich 306 00:14:15,830 --> 00:14:19,230 so machen, aber ich könnte ja das Token auch cleverer machen 307 00:14:19,230 --> 00:14:21,710 und in das Token schon Informationen reinpacken. 308 00:14:22,110 --> 00:14:26,590 Zu dessen Laufzeit und zu den Rechten, die der der Nutzer, der 309 00:14:26,590 --> 00:14:28,750 sich authentifiziert hat. Dann hat. 310 00:14:29,030 --> 00:14:31,230 Ja das ist auch überhaupt nicht ungewöhnlich und das kommt auch 311 00:14:31,230 --> 00:14:33,830 später vor, das wird heute ganz oft gemacht, gerade bei der 312 00:14:33,830 --> 00:14:36,990 Authentifizierung, und dann hat man, dann, spricht man von so 313 00:14:36,990 --> 00:14:42,590 genannten Jwt oder Jard unter den unter den Nerds heißt das 314 00:14:42,590 --> 00:14:47,230 Chart Year WT, das ist ein JSON Web Token und das ist quasi eine 315 00:14:47,230 --> 00:14:50,550 ein aufgeblasenes Token, das ist immer noch ein langer String, 316 00:14:50,750 --> 00:14:53,470 aber dieser String ist ein baysixty Four Encoding, das kann 317 00:14:53,470 --> 00:14:56,110 ich also dekodieren und dann kann ich da drinne rumlesen und 318 00:14:56,110 --> 00:14:58,950 da kommt quasi sowas wie ein Jason raus mit einem Header mit 319 00:14:58,950 --> 00:15:01,150 einem Anteil von Daten, die dann relevant sind und mit der 320 00:15:01,150 --> 00:15:04,120 Signatur. So dass das Token in sich auch 321 00:15:04,120 --> 00:15:07,440 das kann signiert werden quasi. Dann kann quasi jeder jeder von 322 00:15:07,440 --> 00:15:09,320 außen prüfen. Ist dieses Token manipuliert 323 00:15:09,320 --> 00:15:12,480 worden oder nicht, ein bisschen diese Krypto Sachen, die wir 324 00:15:12,480 --> 00:15:15,360 vorher hatten mit schonmal Blockchain und so weiter das ist 325 00:15:15,360 --> 00:15:18,520 eine andere Art und Weise, das kann man auch machen und es gibt 326 00:15:18,520 --> 00:15:20,960 alle Abwandlungen von diesem Graben über die Zeit ist alles 327 00:15:20,960 --> 00:15:23,800 passiert, ja man gab Session Token, sie waren einfach plane, 328 00:15:23,800 --> 00:15:26,120 dann gab es mal jdok Tokens weil die sich ein bisschen 329 00:15:26,120 --> 00:15:29,160 ausgetauscht haben und so weiter alles passiert hat man alles 330 00:15:29,160 --> 00:15:31,430 schon gesehen. Was ist denn jetzt so gängig? 331 00:15:31,430 --> 00:15:34,710 Also wo du hast gesagt, früher war so jede Website hat ne 332 00:15:34,710 --> 00:15:35,990 eigene Datenbank gleicht ab. Ja. 333 00:15:36,390 --> 00:15:38,350 Das impliziert ja, da hat sich irgendwas geändert. 334 00:15:38,710 --> 00:15:41,470 Richtig und hat sich deswegen was ändern sogar auch müssen, 335 00:15:41,670 --> 00:15:44,830 weil es kam dann ja, es kam dann ja so große Start UPS damals 336 00:15:44,830 --> 00:15:47,990 Startups. Hoch irgendwie, wie Google und 337 00:15:47,990 --> 00:15:50,390 Facebook und Yelp. Da gibt es n schönes Beispiel, 338 00:15:50,390 --> 00:15:52,950 das wird, wenn man das n bisschen, wenn man in den Google 339 00:15:52,950 --> 00:15:54,910 das mal n bisschen reinhaut, ich weiß nicht ob ihr noch Zeit und 340 00:15:54,910 --> 00:15:58,070 Lust dazu habt, aber dann findet man oft so n Negativbeispiel von 341 00:15:58,070 --> 00:16:01,550 einer jetzt sehr von einem jetzt sehr erfolgreichen Firma gelb 342 00:16:01,550 --> 00:16:03,790 ich glaube die kennt man in Deutschland vielleicht nicht so, 343 00:16:03,790 --> 00:16:06,550 aber ich bin noch so erfolgreich, ich weiß nicht, ja 344 00:16:06,590 --> 00:16:08,830 ich weiß es nicht also ich hab mal geguckt das sieht noch ganz 345 00:16:08,830 --> 00:16:13,110 gut aus auf jeden Fall Silicon Valley und groß und damals also 346 00:16:13,390 --> 00:16:18,440 die hatten damals die wollten damals, glaube ich, von Google, 347 00:16:19,120 --> 00:16:22,640 also die hatten einen Wert davon, Informationen von dir auf 348 00:16:22,640 --> 00:16:26,400 Information zuzugreifen, die du bei Google hast und gegeben 349 00:16:26,400 --> 00:16:28,040 dieser Technologie, die ich gerade erzählt hab. 350 00:16:28,040 --> 00:16:31,160 Wenn du warte mal, wenn du sagst bei Google haben meinst du da 351 00:16:31,200 --> 00:16:33,360 zum Beispiel deine Kontakte? Ne, ich spreche jetzt mal von 352 00:16:33,360 --> 00:16:35,840 den Kontakten, vorausgesetzt ich hab einen Google Account ja 353 00:16:35,840 --> 00:16:37,680 vorausgesetzt, dass du Google kaufst weil Google ist ja 354 00:16:37,680 --> 00:16:40,040 erstmal suche es gibt suche Google Account wie auch immer. 355 00:16:40,040 --> 00:16:41,320 Genau also worauf ich hinaus will. 356 00:16:41,320 --> 00:16:44,720 Ich nehme das vorweg, wenn eine Anwendung oder ein Programm eine 357 00:16:44,720 --> 00:16:48,270 Webanwendung. Von dir gerne Zugriff hätte auf 358 00:16:48,630 --> 00:16:50,870 eine dritte Anwendung, bei der du auch. 359 00:16:51,750 --> 00:16:55,070 Authentifizierbar bist in der du auch einen Account hast. 360 00:16:56,030 --> 00:17:00,670 Dann kommst du ja immer in das Problem wie wie gibst du dieser 361 00:17:00,670 --> 00:17:04,470 dritten Anwendung das Recht auf einer anderen Anwendung von dir 362 00:17:04,790 --> 00:17:08,670 zuzugreifen? Ne, und jetzt kommt es, ohne 363 00:17:08,670 --> 00:17:11,829 dass du diese anderen Anwendungen, den Usernamen, das 364 00:17:11,829 --> 00:17:14,589 Passwort von einer Dritten gibst und ich nehm dir jetzt mal weg 365 00:17:14,589 --> 00:17:16,990 von Yelp, weil das kennt man nicht so gut, aber Spotify ja, 366 00:17:16,990 --> 00:17:21,109 jeder kennt Spotify ja und Spotify kann zum Beispiel. 367 00:17:21,230 --> 00:17:23,390 Einen Wert daraus schlagen, deinen Google Contacts zu 368 00:17:23,390 --> 00:17:27,950 kennen, um dann in der Google in der Spotify Datenbank zu gucken, 369 00:17:27,950 --> 00:17:31,870 ob es Kontakte gibt und in die Spotify auch hat. 370 00:17:31,870 --> 00:17:33,950 Kann ja sein, dass deine Google Kontakte davon auch irgendwie 371 00:17:33,950 --> 00:17:36,830 paar Leute Spotify hören. Die haben dann ihre Playlist und 372 00:17:36,830 --> 00:17:38,910 so weiter und dann könntest du irgendwie coole Vorschläge von 373 00:17:38,910 --> 00:17:40,710 deinen Freunden, was sie gerne für Musik hören und so weiter 374 00:17:40,710 --> 00:17:43,510 eingeblendet kriegen. Ja also also es gibt halt 1000 375 00:17:43,510 --> 00:17:45,990 1000 gründe warum das Sinn macht so ja ich glaub das gibt es in 376 00:17:45,990 --> 00:17:49,070 ganz vielen Apps und so, also irgendwelche Fitness Apps wo wo 377 00:17:49,070 --> 00:17:51,070 du dich dann vielleicht mit deinem Kontakten vergleichen 378 00:17:51,070 --> 00:17:52,190 willst. Das müssen ja nicht zwingend die 379 00:17:52,190 --> 00:17:54,110 Google Kontakte leiten, sondern auch die eigene Facebook 380 00:17:54,110 --> 00:17:56,910 Kontakte, sein Bruder oder was auch immer ja genau ganz genau 381 00:17:57,150 --> 00:18:00,470 so und jetzt aber aber das grundsätzliche Problem was sich 382 00:18:00,470 --> 00:18:05,350 daraus ergibt ist jetzt jetzt hab ich und in 2006 hätte ich 383 00:18:05,350 --> 00:18:11,720 keine andere Möglichkeit gehabt. Außer dass, weil es gab dieses 384 00:18:11,720 --> 00:18:13,280 noch nicht, über das wir sprechen. 385 00:18:13,400 --> 00:18:18,880 Jetzt müsste ich quasi Spotify. Meinen Usernamen und meine 386 00:18:18,880 --> 00:18:23,240 Passwort von meinem Google Account hingeben, dann sagen die 387 00:18:23,240 --> 00:18:25,520 ja das kann, also mach das bitte, wir machen bestimmt auch 388 00:18:25,520 --> 00:18:28,880 nichts Böses damit, wir gucken uns nur die Kontakte an und dann 389 00:18:28,880 --> 00:18:30,600 loggen wir uns auch wieder aus und so weiter alles gut. 390 00:18:32,280 --> 00:18:33,560 Das wurde tatsächlich auch manchmal gemacht. 391 00:18:33,560 --> 00:18:36,680 Ja, zum Beispiel von dieser Firma Yelp, aber als no good. 392 00:18:36,870 --> 00:18:39,390 Ja, ich weiß, ich mein, selbst wenn du, selbst wenn du der 393 00:18:39,390 --> 00:18:41,830 Firma vertraust, der du das gibst, du hast ja immer, du 394 00:18:41,830 --> 00:18:44,390 gibst ja immer quasi deine Daten weiter, was du ja eigentlich 395 00:18:44,390 --> 00:18:46,070 nicht willst. Letzten Endes, oder also 396 00:18:46,070 --> 00:18:47,710 Passwort und so n Kram ja vor allen. 397 00:18:48,030 --> 00:18:50,150 Dingen, weil, weil das ist ja die Königs, das ist ja der 398 00:18:50,150 --> 00:18:52,790 Königslogin ne, also dann user Namen und dann Passwort 399 00:18:52,790 --> 00:18:55,350 autorisieren, ja dann die andere App, nicht nur die Kontakte zu 400 00:18:55,350 --> 00:18:58,350 lesen, sondern das ganze Ding. Also du hast ja heute im Google 401 00:18:58,350 --> 00:18:59,950 hast du ja nicht nur deine Kontakte drin, sondern 402 00:18:59,950 --> 00:19:01,910 vielleicht auch deine Firmendaten wichtige Dokumente, 403 00:19:01,910 --> 00:19:04,150 was weiß ich nicht alles. Also im Grunde kann man sagen, 404 00:19:04,150 --> 00:19:07,710 das alte System ist dann an seine Grenzen gelangt oder ist 405 00:19:07,710 --> 00:19:09,390 in dem Moment an seine Grenzen gelangt. 406 00:19:10,400 --> 00:19:14,120 Wo plötzlich ein Bedarf da war oder das Requirement, dass Apps 407 00:19:14,240 --> 00:19:16,520 gezielt verschiedene Informationen miteinander 408 00:19:16,520 --> 00:19:20,880 austauschen, um den Nutzern ja im Zweifel ein besseres 409 00:19:20,880 --> 00:19:23,560 Nutzererlebnis zu bescheren, oder oder was auch immer zu. 410 00:19:23,560 --> 00:19:25,560 Machen, das fand ich im Zweifel auf jeden Fall so. 411 00:19:25,560 --> 00:19:28,480 Ja, und das ist genau du hast völlig recht und das ist aber 412 00:19:28,480 --> 00:19:30,680 auch total gesund, weil wir wollen ja eigentlich auch nicht, 413 00:19:30,680 --> 00:19:32,960 und jetzt kommen wir wieder zu einer philosophischen 414 00:19:32,960 --> 00:19:35,160 philosophiefolge Single Source of Truth. 415 00:19:36,030 --> 00:19:39,190 Du willst ja auch verdammt noch mal nicht deine Kontakte 10 mal 416 00:19:39,190 --> 00:19:42,150 eingeben in 10 verschiedene Anwendungen, nur damit die 417 00:19:42,150 --> 00:19:43,670 irgendwie klarkommen. Du willst ja eigentlich 418 00:19:43,670 --> 00:19:46,630 tatsächlich nur, also du suchst dir dein dein Ding aus, wo du 419 00:19:46,630 --> 00:19:48,750 alles mitanagest. Ich hab mir da mal, ich hab mir 420 00:19:48,750 --> 00:19:51,270 da Google ausgesucht, ja und dann will ich halt meine 421 00:19:51,270 --> 00:19:53,430 Kontakte genau nur im Google pflegen und sonst nirgendwo. 422 00:19:53,430 --> 00:19:55,550 Ja und natürlich möchte ich jetzt irgendeine andere 423 00:19:55,550 --> 00:19:57,750 Anwendung, wenn Sie die denn braucht darauf zugreifen darf, 424 00:19:57,750 --> 00:19:59,830 aber deswegen will ich die nicht hernehmen, Exportieren, 425 00:19:59,830 --> 00:20:01,590 importieren, kopieren und so weiter ob das. 426 00:20:01,590 --> 00:20:03,830 Jetzt für alle Menschen so ist, sondern hingestellt. 427 00:20:03,830 --> 00:20:05,270 Aber jetzt? Ist ja egal, aber. 428 00:20:06,400 --> 00:20:08,200 Es gibt eine kritische Menge von Menschen, die das brauchen. 429 00:20:08,200 --> 00:20:10,800 Wir wollen, und deswegen gab es auch eine kritische Menge von 430 00:20:10,800 --> 00:20:12,760 Entwicklern, die was Neues haben einfallen lassen. 431 00:20:13,160 --> 00:20:15,320 Das ganze Konzept nennt sich, was komme ich, jetzt geht es 432 00:20:15,320 --> 00:20:19,640 weiter delegated Authorization ist das Stichwort Delegated 433 00:20:19,640 --> 00:20:24,160 Authorization, das heißt also abdilegierte Autorisierung, und 434 00:20:24,160 --> 00:20:27,160 das Macht das genau und wenn man sagt Delegated Authorization, 435 00:20:27,280 --> 00:20:31,480 dann ist man sofort heute bei Oors 2. 436 00:20:31,760 --> 00:20:34,880 Es gab auch mal ein OAS 1 Alter Gammel kann man vergessen warum 437 00:20:34,880 --> 00:20:36,400 man nicht mehr erzählen, jetzt gibt es. 438 00:20:36,550 --> 00:20:44,230 Goors 2 Doors 2 OA uth heißt o aus OA UTH slash 20 nicht slash 439 00:20:44,230 --> 00:20:49,110 space 20 o. K. 2.0 ganz genau, und das ist 440 00:20:49,110 --> 00:20:53,110 die neue Welt. Und aus 2.0 ermöglicht der 441 00:20:53,110 --> 00:20:58,190 Delegated Authentication. So hin, außer ihr geht Oh 442 00:20:58,190 --> 00:21:00,190 storysation genau ganz ganz wichtig. 443 00:21:00,190 --> 00:21:03,990 Deswegen haben wir am Anfang diese akademische Übung gemacht, 444 00:21:03,990 --> 00:21:10,630 2 sein Autorisierungs. Floh Standard sind Standard also 445 00:21:10,630 --> 00:21:13,550 und und und zwar und zwar mittlerweile so so erfolgreich 446 00:21:13,550 --> 00:21:16,270 im ganzen Web verbreitet und nutzt eigentlich jeder. 447 00:21:16,270 --> 00:21:18,990 Ja, also alle großen, alle Großen sind auf jeden Fall 448 00:21:18,990 --> 00:21:21,870 dabei. Ja und wir kennen es von, also 449 00:21:21,870 --> 00:21:24,350 wo kennt also wir sehen das natürlich nicht, wo hat 450 00:21:24,350 --> 00:21:26,070 wahrscheinlich noch keiner gehört, wenn man sich damit 451 00:21:26,070 --> 00:21:27,830 nicht beschäftigt, will man eigentlich auch nicht hören, 452 00:21:27,830 --> 00:21:31,960 weil es wirklich. Der Standard, ich habe da mal 453 00:21:31,960 --> 00:21:34,840 reingeguckt, das ist halt richtig langes Zeug, es ist 454 00:21:34,840 --> 00:21:38,840 richtig kompliziert, es ist echt heftige Materie, also will man 455 00:21:38,840 --> 00:21:40,920 gar nicht wissen, aber man kennt es, wenn man es sieht, 456 00:21:40,920 --> 00:21:43,120 irgendwann kann man der Login Button auch von Facebook, ich 457 00:21:43,120 --> 00:21:46,280 glaube die waren die ersten 2009 oder irgend so was, da kam es 458 00:21:46,280 --> 00:21:49,920 das erste Mal so, da wurde quasi sichtbar weil da stand dann 459 00:21:49,920 --> 00:21:54,600 irgendwo mal du kannst dich hier auch einloggen mit Facebook und. 460 00:21:54,710 --> 00:21:57,470 Warst irgendwo anders und kannst auf einmal sagen Login with 461 00:21:57,470 --> 00:21:59,630 Facebook und jetzt muss ich n bisschen aufpassen, dass ich 462 00:21:59,630 --> 00:22:02,390 euch nicht jetzt jetzt der erfindige Zuhörer sagt, jetzt 463 00:22:02,470 --> 00:22:04,790 jetzt hat er Heisen gesagt, das ist n Autorisierungsframework 464 00:22:04,790 --> 00:22:07,510 und jetzt spricht er auf einmal Login ist Facebook ja, das ist 465 00:22:07,510 --> 00:22:10,670 aber doch Authentifizierung. Der findige Hörer hat genau 466 00:22:10,670 --> 00:22:13,350 richtig zugehört. Das stimmt, aber trotzdem war 467 00:22:13,350 --> 00:22:16,710 das quasi der sichtbare Punkt für für ORS und Uros wurde an 468 00:22:16,710 --> 00:22:19,910 dieser Stelle schon so weit getrieben, dass man es auch n 469 00:22:20,670 --> 00:22:22,150 bisschen gehackt hat, sag ich mal. 470 00:22:22,150 --> 00:22:25,550 Und eigentlich. Über die Maßen genutzt hat sogar 471 00:22:25,550 --> 00:22:27,630 nicht nur als Autorisierung, sondern sogar als 472 00:22:27,630 --> 00:22:31,190 Authentifizierungsframe wirke. Das wurde abgestellt. 473 00:22:31,190 --> 00:22:33,990 Das das, das hat man gesehen, aber da hole ich jetzt ein 474 00:22:33,990 --> 00:22:36,270 bisschen. Ja, vielleicht erklär es doch 475 00:22:36,270 --> 00:22:38,070 erst noch mal kurz dieses. Kurz ist gut. 476 00:22:38,270 --> 00:22:41,510 Ja oder kurz darüber, du sagst es zum Standard, der kommt ja 477 00:22:41,510 --> 00:22:44,310 auch nicht irgendwie aus dem Nichts, da Gedanken machen und 478 00:22:44,470 --> 00:22:47,430 müssen sich alle drauf einigen. Ist es so ein bisschen was wie 479 00:22:47,430 --> 00:22:49,790 ein Open Source Produkt oder ist das eher? 480 00:22:50,110 --> 00:22:52,790 Ein Framework? Nee, es ist tatsächlich eine, es 481 00:22:52,790 --> 00:22:55,230 ist tatsächlich eigentlich ein Web Standard, der also der 482 00:22:55,230 --> 00:22:57,470 basiert, das muss man wissen, also sie basiert erstmal auf dem 483 00:22:57,470 --> 00:23:02,190 Http Protokoll. Den sogenannten Rest APIS, so 484 00:23:02,190 --> 00:23:03,990 die setz ich mal voraus, sonst funktioniert es nicht. 485 00:23:03,990 --> 00:23:07,670 Und dafür im Prinzip definiert das O aus eine Art Regelwerk, 486 00:23:07,670 --> 00:23:12,950 wie wenn ich das habe. Dazu komme, dass sie sicher sehr 487 00:23:12,950 --> 00:23:17,240 sicher. Einer einer Anwendung einer 488 00:23:17,360 --> 00:23:20,920 dritten Anwendung Rechte geben kann von einer zweiten 489 00:23:20,920 --> 00:23:23,360 Anwendung, in der ich schon authentifiziert wurde. 490 00:23:23,560 --> 00:23:26,680 Also da kann man sich, da kann man sich stundenlang mit 491 00:23:26,680 --> 00:23:27,680 befassen, weil es kompliziert ist. 492 00:23:27,680 --> 00:23:30,760 Ich versuche es mal ganz einfach zu sagen und die ganz schlichten 493 00:23:30,760 --> 00:23:33,560 aha Erlebnisse die ich so hatte mal wieder zu spiegeln, wenn 494 00:23:33,560 --> 00:23:35,800 man, wenn man sich anguckt, muss man erstmal wissen, man ist 495 00:23:35,800 --> 00:23:38,520 quasi immer im Frontend erstmal es findet sich alles im 496 00:23:38,520 --> 00:23:40,480 Frontend, also ich bin irgendwie sagen wir mal ich bin bei 497 00:23:40,480 --> 00:23:44,910 Spotify auf einer Seite. Und dann sagt mir Spotify, so 498 00:23:44,910 --> 00:23:46,790 fängt das alles an. Ich hätte gerne Zugriff auf 499 00:23:46,790 --> 00:23:49,550 deine Google contacts. Ja und dann ist. 500 00:23:51,200 --> 00:23:53,080 Im auf der URL wird nicht in Spotify bin das hört also 501 00:23:53,080 --> 00:23:56,920 irgendwie auf mit spotify.com oder sowas at Google contacts 502 00:23:56,920 --> 00:24:00,950 einen Button. Bei Spotify, Spotify will jetzt 503 00:24:00,950 --> 00:24:02,950 auf die Kontakte zugreifen. Wenn ich auf diesen Button 504 00:24:02,950 --> 00:24:05,390 drücke, was passiert dann dann passiert dann komme ich nicht 505 00:24:05,390 --> 00:24:07,390 auf eine Form die wieder bei Spotify ist, wo ich meinen 506 00:24:07,390 --> 00:24:09,470 Usernamen, mein Passwort von Google eingeben muss. 507 00:24:09,470 --> 00:24:14,150 Nein und jetzt kommt was Neues, der Flow fängt jetzt an, jetzt 508 00:24:14,150 --> 00:24:17,430 werde ich directed das ist wichtig an Reed Direct, das kann 509 00:24:17,430 --> 00:24:19,510 ich ja immer machen wenn ich eine Anwendung habe, die kann ja 510 00:24:19,510 --> 00:24:22,870 quasi einen Link aufrufen ganz normal hyperlink zu einer 511 00:24:22,870 --> 00:24:26,990 anderen Seite und das tut sie auch und sie ruft auf einen ganz 512 00:24:26,990 --> 00:24:30,280 speziellen Link und zwar. Den und jetzt kommt was 513 00:24:30,280 --> 00:24:32,000 Wichtiges. Den Link zum 514 00:24:32,400 --> 00:24:37,720 Autorisierungsserver von Google ist ein wichtiges Konzept, um 515 00:24:37,720 --> 00:24:40,760 dieses Ganze um diesen ganzen Kram von dieser Autorisierung 516 00:24:40,760 --> 00:24:42,800 aufzuräumen, hat man sich erstmal entschieden, dass es 517 00:24:42,800 --> 00:24:45,240 einen eigenen Server gibt, denn nichts anderes macht als 518 00:24:45,240 --> 00:24:50,590 Autorisierung für alle. Und und der hat ne eigene API. 519 00:24:50,590 --> 00:24:55,430 Ja und den ruft Spotify nun auf und gibt ihm bestimmte 520 00:24:55,430 --> 00:24:58,350 Informationen mit in diesem ersten Aufruf ja. 521 00:24:58,630 --> 00:25:00,670 Sind im Prinzip 3, wenn man es runter brennt. 522 00:25:00,670 --> 00:25:03,670 Alles vereinfacht heute, aber es sind 3 wichtige Informationen 523 00:25:03,910 --> 00:25:08,270 bei diesem ersten Aufruf kommt eine sogenannte Redirectury 524 00:25:08,270 --> 00:25:13,550 rein, also eine eine URL, also eine Adresse wohin wenn der 525 00:25:13,550 --> 00:25:16,870 ganze Kram fertig ist, ob erfolgreich oder nicht, wohin 526 00:25:16,870 --> 00:25:20,350 die Reise wieder zurückgeht, der Weg nach Hause und dieser Re 527 00:25:20,350 --> 00:25:24,310 Directory ist typischerweise, hört aber auf mit Callback, das 528 00:25:24,310 --> 00:25:28,110 ist relativ standardisiert, also spotify.com Callback. 529 00:25:28,960 --> 00:25:31,200 Wäre die Re direct UAI, weil es geht nämlich weiter. 530 00:25:31,200 --> 00:25:33,200 Wir werden quasi immer weitergeleitet im Internet 531 00:25:33,200 --> 00:25:35,640 werden nur ein paar Kurven geleitet und ganz zum Schluss 532 00:25:35,640 --> 00:25:37,960 wenn das fertig ist dann ich habe quasi das immer 533 00:25:37,960 --> 00:25:40,880 mitgenommen, die Adresse nach Hause quasi habe ich mir gemerkt 534 00:25:40,880 --> 00:25:43,560 nach Hause telefonieren hier ja und dann komme ich wieder zu 535 00:25:43,560 --> 00:25:46,800 Spotify irgendwann zurück und dann wertet Spotify auf auf dem 536 00:25:46,800 --> 00:25:49,080 Weg was alles so passiert ist wertet es dann aus das erzähle 537 00:25:49,080 --> 00:25:53,800 ich gerade noch wie heißt das You are you unique Resources 538 00:25:53,800 --> 00:25:55,560 Identifier? Das ist nichts anderes als deine 539 00:25:55,560 --> 00:25:58,400 URL allgemeiner Begriff dafür so dann gibt es das 540 00:25:58,400 --> 00:26:01,670 Nächstwichtigste ist der Scope. Ich hatte schon vorher erklärt 541 00:26:01,670 --> 00:26:04,910 das Scope, also die Spotify wird jetzt Anfragen. 542 00:26:04,910 --> 00:26:08,310 Nicht ich möchte alles von Google lesen, sondern das Scope 543 00:26:08,310 --> 00:26:11,790 ist quasi was möchte ich ja read contacts zum Beispiel ist der 544 00:26:11,790 --> 00:26:14,830 Scope ja oder ein bisschen mehr read contact read E-Mail. 545 00:26:15,310 --> 00:26:17,950 Oder, oder, oder diese Scopes, da gibt es, je nachdem wie 546 00:26:17,950 --> 00:26:21,430 komplex deine Anwendung ist. Bei Google gibt es lange Listen 547 00:26:21,430 --> 00:26:23,030 von Scopes. Ja kann man sich vorstellen, 548 00:26:23,030 --> 00:26:24,990 weil die machen so viel. Ja da kannst du Tasks und es 549 00:26:24,990 --> 00:26:28,110 gibt milde Apps die erstmal versuchen alles zu kriegen und 550 00:26:28,110 --> 00:26:30,710 so weiter spiele. Oder sonst so gerade. 551 00:26:30,750 --> 00:26:32,830 Richtig, richtig. Und wenn man das natürlich 552 00:26:32,830 --> 00:26:35,670 ordentlich macht in spotify.com ordentlich ist, dann machen die, 553 00:26:35,670 --> 00:26:38,830 dann werden die auch nur den Scope Anfragen, der halt minimal 554 00:26:38,830 --> 00:26:41,310 relevant ist um das zu tun was sie tun wollen, vielleicht in 555 00:26:41,310 --> 00:26:44,590 diesem Fall Kontakte lesen und nicht löschen oder so. 556 00:26:45,480 --> 00:26:47,200 Vielleicht will man aber auch Kontakte editieren können, weil 557 00:26:47,200 --> 00:26:49,040 man dann, weil das auch vielleicht ein Feature ist, dass 558 00:26:49,040 --> 00:26:51,880 sich im Spotify auch mit meinen Kontakten quasi so umgehen kann 559 00:26:51,880 --> 00:26:53,840 wie bei Google, das gleiche Experience haben möchte. 560 00:26:53,960 --> 00:26:55,200 Gut, bleiben wir mal dabei. Aber egal. 561 00:26:55,200 --> 00:26:57,480 Lesen. Und dann gibt es noch einen 562 00:26:57,480 --> 00:26:59,480 wichtigen Ding sind Response Type. 563 00:26:59,880 --> 00:27:03,160 Ich sah sich ein bisschen weg, das ist typischerweise Code, 564 00:27:03,200 --> 00:27:05,840 sage ich nachher was das ist? Ich lass mal kurz offen, also 565 00:27:05,840 --> 00:27:09,120 diese 3 Sachen, also wohin geht es wieder zurück, was ist der 566 00:27:09,120 --> 00:27:12,720 Scope den ich Anfrage und so eine Art Response Type, das ist 567 00:27:13,160 --> 00:27:15,320 ja, das ist dann quasi das Ergebnis, wie soll das Ergebnis 568 00:27:15,320 --> 00:27:17,350 aussehen? Dieser Autorisierung, die ich 569 00:27:17,350 --> 00:27:20,150 jetzt Abfrage, und jetzt werde ich weitergeleitet, tatsächlich 570 00:27:20,150 --> 00:27:23,390 auf accounts.google.com, das kriegt das alles mit. 571 00:27:23,710 --> 00:27:26,510 Und wenn ich jetzt nicht eingeloggt bin bei Google. 572 00:27:27,430 --> 00:27:29,230 Meistens ist man ja schon irgendwie eingeloggt. 573 00:27:29,230 --> 00:27:31,070 Also wir sind meistens immer eingeloggt, Gerrit und ich, weil 574 00:27:31,430 --> 00:27:33,990 weil wir mit Google arbeiten. Wer es jetzt nicht ist, der 575 00:27:33,990 --> 00:27:37,150 würde jetzt die Authentifizierungsmaske von 576 00:27:37,150 --> 00:27:40,110 Google in ins Gesicht bekommen, ne also Google Login, das kennt 577 00:27:40,110 --> 00:27:41,750 man auch manchmal. Ja du drückst dann bei Spotify 578 00:27:41,750 --> 00:27:43,990 drauf und dann musst du erstmal bei Google einloggen, Usernamen 579 00:27:43,990 --> 00:27:46,710 Passwort aber der Unterschied ist wenn man jetzt oben in die 580 00:27:46,710 --> 00:27:48,590 URL guckt. Ich bin halt jetzt bei Google, 581 00:27:49,110 --> 00:27:51,830 ich gebe jetzt nicht Spotify meinen Usernamen und und mein 582 00:27:51,830 --> 00:27:54,190 Passwort sondern ich gebe es Google und denen kann ich es 583 00:27:54,190 --> 00:27:57,150 geben weil denen gehört es ja auch, die Verwalten das und wenn 584 00:27:57,150 --> 00:27:59,630 ich das gemacht habe dann werde ich wieder weitergeleitet weil 585 00:27:59,630 --> 00:28:02,550 Google weiß jetzt ich. Hier von so einem U. 586 00:28:02,550 --> 00:28:04,590 Ostweg West die die haben das quasi immer noch alles 587 00:28:04,590 --> 00:28:08,670 gespeichert im Hintergrund und jetzt jetzt wird jetzt werde ich 588 00:28:08,670 --> 00:28:11,470 gefragt, jetzt muss ich zustimmen, das ist total wichtig 589 00:28:11,470 --> 00:28:15,190 dieser Punkt ich ich als Nutzer ich als Resource owner so ist 590 00:28:15,190 --> 00:28:18,790 der Fachlingo in diesem OOS ich besitze ja die Resource 591 00:28:18,790 --> 00:28:22,430 Kontakte, ich werde jetzt gefragt darf Spotify da steht da 592 00:28:22,430 --> 00:28:24,390 man kennt diesen Screen manchmal. 593 00:28:24,390 --> 00:28:26,310 Ich weiß nicht ob ihr es kennt, es wird immer besser Spotify 594 00:28:26,310 --> 00:28:30,070 wird immer transparenter, Spotify möchte zugreifen leasend 595 00:28:30,070 --> 00:28:33,240 auf deine Kontakte. Stimmst du dem zu? 596 00:28:33,240 --> 00:28:34,840 Ja oder Nein? Wer ist das nicht? 597 00:28:34,840 --> 00:28:38,200 Ja, wenn ich jetzt nein sage, dann dann wird es 598 00:28:38,200 --> 00:28:40,600 zurückgeschickt, dann komme ich wieder zurück zu Spotify, 599 00:28:40,600 --> 00:28:43,560 Spotify liest aus, Nein, der hat das nicht gemacht so, dann läuft 600 00:28:43,560 --> 00:28:47,840 es im Sande, so drücke ich jetzt auf, ja dann passiert was Neues, 601 00:28:48,120 --> 00:28:52,080 dann wird jetzt quasi von Google dieser sogenannte Response Type 602 00:28:52,080 --> 00:28:56,760 Code generiert und Garrett, Du kennst dieses Coating, das 603 00:28:56,760 --> 00:28:59,160 passiert alles in der was passiert, du hast es tatsächlich 604 00:28:59,160 --> 00:29:01,360 schon gesehen, wir hatten eine App, wir machen das nämlich auch 605 00:29:01,360 --> 00:29:05,350 in OOS. Who aus 2 Flow oben in der URL 606 00:29:05,350 --> 00:29:08,150 dieses lange Ding, da stand mal einfach so n Code gleich rüms 607 00:29:08,150 --> 00:29:11,670 und so weiter der hat uns schon mal gestört beim Einloggen. 608 00:29:11,670 --> 00:29:15,750 Dieses Ding ist quasi der Response Type von einer von 609 00:29:15,750 --> 00:29:19,390 einer funktionierenden. Funktionierten Erlaubnis über 610 00:29:19,390 --> 00:29:22,870 ein O aus 2 Flower und mit diesem Code komme ich jetzt zu 611 00:29:22,870 --> 00:29:26,070 Spotify wieder zurück und das war jetzt alles im Browser. 612 00:29:26,070 --> 00:29:28,910 Jetzt haben sich nur Browser Seiten hin und her gelinkt. 613 00:29:29,070 --> 00:29:32,630 Ja und jetzt schickt quasi Spotify diesen Code. 614 00:29:32,830 --> 00:29:35,630 Zu deren Server ins Backend. Das ist wichtig, und das ist 615 00:29:35,630 --> 00:29:40,190 total sicher und fragt mit diesem Code bei Google nochmal 616 00:29:40,190 --> 00:29:43,510 einen Access Token an. Ja, und dann kriegt es das 617 00:29:43,510 --> 00:29:45,910 Access Token ist n ist kein Session Token, sondern 618 00:29:45,910 --> 00:29:49,870 tatsächliches Zugangstoken. Das ist sowas wie ein temporärer 619 00:29:49,870 --> 00:29:54,030 Username Passwort in einem ja auch so n String und hat Spotify 620 00:29:54,030 --> 00:29:56,310 dieses Access Token dann darf und und weil das Google 621 00:29:56,310 --> 00:29:57,990 ausgestellt hat. Und dann? 622 00:29:57,990 --> 00:30:01,070 Jetzt darf Spotify auf einmal Google Anfragen nach den 623 00:30:01,070 --> 00:30:03,390 Kontakten von mir mit diesem Access Token und Google wird 624 00:30:03,390 --> 00:30:05,870 sagen ja das Access Token ist gültig, damit darfst du die 625 00:30:05,870 --> 00:30:08,390 Kontakte von Gerrit Meyer Anfragen, hier hast du sie. 626 00:30:08,710 --> 00:30:10,590 So, jetzt lange. Das war ne lange Rede, aber es 627 00:30:10,590 --> 00:30:12,430 war ziemlich kurze Rede. Für 2. 628 00:30:13,110 --> 00:30:15,990 Gibt es also das kann man sich auch noch viel länger angucken 629 00:30:15,990 --> 00:30:18,830 und es gibt ziemlich viele Variationen davon, dass jetzt 630 00:30:18,830 --> 00:30:21,950 mal der Standardweg, ich glaube, dabei belassen wir es auch. 631 00:30:22,430 --> 00:30:24,110 Total nachvollziehbar. Also ich glaube, wichtig ist nur 632 00:30:24,110 --> 00:30:26,510 noch mal zu erwähnen, du hast das Beispiel jetzt gemacht mit 633 00:30:27,070 --> 00:30:31,230 Spotify als Dienst, der bestimmte Ressourcen eben aus 634 00:30:31,230 --> 00:30:33,750 aus Google aus dem Google Account, in dem Fall jetzt 635 00:30:33,750 --> 00:30:36,550 einfach haben möchte und zwar hier die Kontakte um dann zum 636 00:30:36,550 --> 00:30:38,630 Beispiel Spotify irgendein neues Feature anzubieten, 637 00:30:38,630 --> 00:30:41,590 Kontaktlinsen meiner Kontakte, Playlist meiner Kontakte 638 00:30:41,590 --> 00:30:44,350 anzeigen, aber das können ja beliebige Dienste sein, die da 639 00:30:44,350 --> 00:30:47,150 miteinander austauschen, die aber beide. 640 00:30:47,360 --> 00:30:49,720 Diesen O. Aus Flow quasi unterstützen. 641 00:30:49,720 --> 00:30:51,920 Dann, das ist halt wichtig. Ganz genau, ganz genau, ganz 642 00:30:51,920 --> 00:30:53,520 genau. Und dann existiert das Access 643 00:30:53,520 --> 00:30:54,560 Token. Da habe ich mich gerade noch 644 00:30:54,560 --> 00:30:57,360 gefragt, wie lange existiert das dann so lange, bis man es 645 00:30:57,360 --> 00:30:59,200 irgendwie wieder löscht oder so was in der Art. 646 00:30:59,200 --> 00:31:01,080 Also ich weiß bei ein paar Diensten wie man das machen 647 00:31:01,080 --> 00:31:03,960 kann, da gibt es dann irgendwie in den Optionen so Reiter, wo 648 00:31:03,960 --> 00:31:06,040 man dann gucken kann mit welchen anderen. 649 00:31:06,670 --> 00:31:09,310 System oder oder Services im Hintergrund so kommuniziert 650 00:31:09,510 --> 00:31:10,190 wird. Und dann? 651 00:31:10,350 --> 00:31:11,430 Kann ich es dann wieder rauslöschen? 652 00:31:11,430 --> 00:31:14,310 Genau, du kannst also die Hoheit hast, weil du bist ja im 653 00:31:14,310 --> 00:31:17,470 Resource Owner, Die Hoheit hast du immer typischerweise kann 654 00:31:17,470 --> 00:31:19,750 sagt genau Google zeigt dir genau an, welche Anwendung haben 655 00:31:19,750 --> 00:31:22,270 welches Access gerade und du kannst sie einfach löschen und 656 00:31:22,270 --> 00:31:24,950 ist weg, aber die sind immer nicht für immer gültig access 657 00:31:24,950 --> 00:31:28,310 ich weiß nicht was die Standard Dings ist stundent. 658 00:31:28,950 --> 00:31:31,270 Es kommt vielleicht auch drauf an auf, auf welchen Scope könnt 659 00:31:31,550 --> 00:31:33,070 mir vorstellen, dass es unterschiedlich ist. 660 00:31:33,070 --> 00:31:36,590 Je nach Scope weiß ich aber nicht aus dem Kopf haben aber 661 00:31:36,670 --> 00:31:39,350 also gerade das Beispiel was du gemacht hast mit mit Spotify und 662 00:31:39,350 --> 00:31:41,710 den Kontakten. Also es hält schon lange, es 663 00:31:41,710 --> 00:31:42,830 hält schon ne Weile ist glaub ich auch. 664 00:31:42,830 --> 00:31:45,230 Also bei mir hält das. Ja, vielleicht auch seit immer, 665 00:31:45,230 --> 00:31:46,510 seitdem ich das mal gemacht habe. 666 00:31:46,510 --> 00:31:49,630 Ja, kann gut sein, ne, ich sehe tatsächlich freigegebene 667 00:31:49,630 --> 00:31:52,190 Playlisten meiner ich weiß ehrlich gesagt nicht, ob dir die 668 00:31:52,190 --> 00:31:54,470 ob das dann dabei steht, ich glaube nicht ehrlich gesagt wie 669 00:31:54,470 --> 00:31:57,190 lange dieses Access Token dann ausgezeichnet mein persönlicher 670 00:31:57,310 --> 00:31:59,510 Tipp an der Stelle ist einfach mal wenn man Google. 671 00:31:59,870 --> 00:32:01,350 Benutzt er privat oder beruflich? 672 00:32:01,350 --> 00:32:05,470 Sehr egal oder auch bei Facebook oder sowas mal reinzugucken in 673 00:32:05,470 --> 00:32:08,790 diese Option mal zu schauen welchen anderen. 674 00:32:09,150 --> 00:32:13,790 Der Servicesurfparty Services Mandat tatsächlich schon welche 675 00:32:13,790 --> 00:32:16,390 Daten freigegeben hat. Das ist sehr spannend und dann 676 00:32:16,390 --> 00:32:18,270 auch zum Teil sehr überrascht. Sehr guter Tipp und das kann 677 00:32:18,270 --> 00:32:19,470 doch auch mal aufräumen zwischendurch. 678 00:32:19,470 --> 00:32:22,270 So genau, es sind nicht alles Trusted Partys, so viele Leute 679 00:32:22,270 --> 00:32:23,550 treiben auch ganz schön schindluder. 680 00:32:23,550 --> 00:32:25,510 Damit also je weniger, desto besser, denke ich mal an der. 681 00:32:25,510 --> 00:32:27,390 Stelle auf jeden Fall. Also alles, was du nicht 682 00:32:27,390 --> 00:32:29,070 brauchst, wieder raus. Ist auch meine Empfehlung. 683 00:32:29,070 --> 00:32:32,270 Ja, und gerade also ich bin also ich habe es nur gehört, ich bin 684 00:32:32,270 --> 00:32:34,550 wie gesagt selber kein Facebook Nutzer, bei Facebook gab es 685 00:32:34,550 --> 00:32:38,750 sowas auch in Omas irgendwie so Service Anbieter für alles die 686 00:32:38,750 --> 00:32:41,750 dann aber auch irgendwie dann. An wie gut sind die Rechte 687 00:32:41,750 --> 00:32:43,790 formuliert, die dann alles Mögliche, die Rechte an 688 00:32:43,790 --> 00:32:45,830 rechtemäßigen Sachen dehnen? So und dann irgendwie 689 00:32:45,830 --> 00:32:48,150 irgendwelche Postings machen für dich und so keine Ahnung, gut, 690 00:32:48,150 --> 00:32:51,350 das war die Autorisierung, war die Autorisierung genau und 691 00:32:51,350 --> 00:32:53,790 jetzt wenn wenn wir jetzt so n Flow haben, dann kann man sich 692 00:32:53,790 --> 00:32:55,790 jetzt vorstellen Facebook waren die ersten. 693 00:32:56,390 --> 00:32:59,310 Im Prinzip kann man diesen ganzen Flow ja auch nehmen, um 694 00:33:00,070 --> 00:33:02,310 um eine Authentifizierung zu machen. 695 00:33:02,310 --> 00:33:05,070 Ja, weil wo ist der Unterschied? Es geht dann eigentlich nur noch 696 00:33:05,070 --> 00:33:07,270 darum, dass ich in der ersten Anfrage sage. 697 00:33:09,710 --> 00:33:14,870 Gib mir mal die User ID und die Informationen zum Nutzer. 698 00:33:15,270 --> 00:33:18,230 Ja, als also wenn ich jetzt typischerweise haben wir als 699 00:33:18,230 --> 00:33:21,230 scopes autorisierungs scopes, also lese, E-Mail und so weiter 700 00:33:21,230 --> 00:33:23,390 und sofort und was die aber gemacht haben, die haben sich 701 00:33:23,390 --> 00:33:26,470 quasi ein Scope ausgedacht und das war aber leider nicht 702 00:33:26,470 --> 00:33:28,750 standardisiert, weil man es halt quasi gehackt hat, aber so 703 00:33:28,750 --> 00:33:31,670 funktioniert es am Anfang und der ausgedachte Scope war halt 704 00:33:31,790 --> 00:33:34,430 gibt mir halt die Nutzerinformationen, die ID vom 705 00:33:34,430 --> 00:33:37,190 User usw und dann funktioniert das gleich, dann funktioniert es 706 00:33:37,190 --> 00:33:40,150 eigentlich genauso und auf einmal kann ich halt user id s 707 00:33:40,150 --> 00:33:42,030 auslesen so aber das war halt das war dann halt nicht 708 00:33:42,030 --> 00:33:43,950 kompatibel weil es die da ein bisschen anders gemacht hat und 709 00:33:43,950 --> 00:33:45,390 so weiter und das hat dann noch mal. 710 00:33:45,670 --> 00:33:48,710 Zurück zu springen, den Login mit Facebook ermöglicht. 711 00:33:48,710 --> 00:33:51,310 Richtig, das ist das genau, danke Gerrit. 712 00:33:51,310 --> 00:33:53,590 Ja genau, also Login mit Facebook, wenn ich da drauf 713 00:33:53,590 --> 00:33:55,070 drücke auch heute noch dann passiert. 714 00:33:56,080 --> 00:33:59,720 Es ist immer noch heute ein O aus 2 Flow, aber aber es gibt 715 00:33:59,720 --> 00:34:01,560 noch ein System oben drüber und das will ich auch noch mal 716 00:34:01,560 --> 00:34:05,040 namentlich erwähnen. Das heißt Open id connect, das 717 00:34:05,040 --> 00:34:08,320 war quasi die Reaktion darauf, dass man gesehen hat, okay die 718 00:34:08,320 --> 00:34:10,710 großen wollen. Ist halt die die Pressen das 719 00:34:10,710 --> 00:34:13,030 durch, die können das ja auch. Facebook hat angefangen, Google 720 00:34:13,030 --> 00:34:15,949 hat sofort nachgezogen, ein Login ist Microsoft kennt man 721 00:34:15,949 --> 00:34:20,270 alles und dann gab es aber eine Standardisierungs ja Bewegung 722 00:34:20,630 --> 00:34:22,590 die quasi dieses diesen Wildwuchs gleich wieder 723 00:34:22,590 --> 00:34:24,070 eingefangen haben, Gott sei Dank. 724 00:34:24,350 --> 00:34:26,070 Und jetzt? Eingepresst haben das sogenannte 725 00:34:26,070 --> 00:34:31,150 Open id Connect, was eine kleine Erweiterung ist auf den Oors 2 726 00:34:31,150 --> 00:34:34,070 Flow, den ich gerade erklärt hat, obendrauf ja der das aber 727 00:34:34,070 --> 00:34:37,830 quasi standardisiert und man hat im Prinzip, was ich gerade 728 00:34:37,830 --> 00:34:39,909 gesagt hab, wie man es quasi gemacht gehackt hat. 729 00:34:40,150 --> 00:34:42,909 So hat man es halt auch gelöst. Man hat halt quasi einen 730 00:34:42,909 --> 00:34:47,750 speziellen Scope zum zur User Authentifizierung erhoben und 731 00:34:47,750 --> 00:34:51,670 der heißt Open ID tatsächlich klein geschrieben zusammen Open 732 00:34:51,670 --> 00:34:55,710 ID, das ist n spezieller Scope. Ja und wenn der angefragt wird, 733 00:34:55,710 --> 00:34:57,870 dann heißt es ich möchte den Typen jetzt hier 734 00:34:57,870 --> 00:35:01,030 authentifizieren, authentifizieren und bekomme 735 00:35:01,030 --> 00:35:04,350 dann und dann passiert genau das gleiche also ich frag den also 736 00:35:04,350 --> 00:35:07,790 ich bin jetzt auf irgendeiner Webseite was weiß ich sogar auf 737 00:35:07,790 --> 00:35:10,310 unserer irgendwie App einloggen und so weiter loggt sich ein mit 738 00:35:10,310 --> 00:35:12,390 Google dann geht's rüber nach Google. 739 00:35:13,280 --> 00:35:16,200 Der sieht den Open id scope weiß okay ich muss jetzt hier nicht 740 00:35:16,200 --> 00:35:18,120 Autorisierung machen, sondern Authentifizierung. 741 00:35:18,120 --> 00:35:22,280 Nach Open id Protokoll Lalala und dann passiert aber das 742 00:35:22,280 --> 00:35:25,240 gleiche, ich muss mich einloggen bei Google oder bin es schon je 743 00:35:25,240 --> 00:35:27,200 nachdem wenn ich nicht bin, dann muss ich mich noch einloggen, 744 00:35:27,200 --> 00:35:28,240 das muss. Man sich jetzt nochmal 745 00:35:28,240 --> 00:35:28,920 bestätigen. Meistens. 746 00:35:28,920 --> 00:35:30,840 Ist es irgendwie nochmal bestätigen und so weiter das ist 747 00:35:30,840 --> 00:35:32,680 irgendwie ordentlich ist und dann werde ich weitergeleitet. 748 00:35:32,680 --> 00:35:34,840 Komme wieder zurück zur Anwendung und diese Anwendung 749 00:35:34,840 --> 00:35:39,040 bekommt quasi einen Code, mit dem sie die User Informationen 750 00:35:39,040 --> 00:35:41,280 abrufen kann. Also bei Google ist das zum 751 00:35:41,280 --> 00:35:43,240 Beispiel alles mit drin, da ist expired Day Date von dieser 752 00:35:43,240 --> 00:35:46,160 Information, dass dann Avatar mit drin das wer du bist deine 753 00:35:46,160 --> 00:35:49,520 E-Mail alles was du brauchst um dich dann sauber ändert, das ist 754 00:35:49,520 --> 00:35:51,920 ja wer saß benutzt das klassische Klassiker du bist 755 00:35:51,920 --> 00:35:54,750 voll da. Das ist dieses, da steckt alles 756 00:35:54,750 --> 00:35:58,110 in diesem Open ID scope und was man da tatsächlich zurück 757 00:35:58,110 --> 00:36:00,630 kriegt, ist kein Access Token und deswegen hab ich jetzt 758 00:36:00,630 --> 00:36:02,430 schließen wir den Kreis von ganz Anfang. 759 00:36:03,110 --> 00:36:06,790 Access Token ist ja so n das ist quasi so n Nichtssagendes drin 760 00:36:06,790 --> 00:36:10,630 und dieses Open ID Token ist jetzt ein JWUTT Token. 761 00:36:10,630 --> 00:36:14,390 Ja dieses JSON Web Token, weil das hat natürlich, das hat ja 762 00:36:14,390 --> 00:36:16,910 noch mal eine andere Qualität, sag ich mal, weil da eine 763 00:36:16,910 --> 00:36:19,030 Authentifizierungsdaten drin sind, deswegen ist das auch noch 764 00:36:19,030 --> 00:36:22,270 mal besonders gesichert und kann auch langfristig dann quasi beim 765 00:36:22,270 --> 00:36:25,560 Client gespeichert werden. Weil da die Informationen im 766 00:36:25,560 --> 00:36:27,480 Token schon drin stehen. Und das hat einen Header. 767 00:36:27,480 --> 00:36:29,960 Dann stehen die Informationen über dich da drinne und eine 768 00:36:29,960 --> 00:36:33,720 Signatur, das heißt es kann auch nicht, es kann auch nicht 769 00:36:33,720 --> 00:36:36,360 modifiziert werden, ohne dass keiner mitkriegt, ja das wird 770 00:36:36,360 --> 00:36:39,920 ausgestellt, einmal von Google und zertifiziert quasi Siegel 771 00:36:39,920 --> 00:36:43,640 drauf wieso ein wieso ein Siegerring drauf gedampft und 772 00:36:43,640 --> 00:36:45,760 dann kannst du auch nicht mehr sagen okay ich war jemand anders 773 00:36:45,760 --> 00:36:48,960 oder irgendsowas ist Abgesiegelt und im Prinzip funktioniert das 774 00:36:48,960 --> 00:36:52,960 alles so ja das genau und zusammen ist das die moderne Art 775 00:36:52,960 --> 00:36:56,350 und Weise. Wie man heute Authentifizierung 776 00:36:56,350 --> 00:36:59,670 und Autorisierung macht? Ja, und das, das war jetzt der 777 00:37:00,350 --> 00:37:02,750 Sign Prozess, der quasi den du gerade beschrieben hast. 778 00:37:02,750 --> 00:37:06,710 Ne, also das Initiale Anlegen eines Accounts unter Nutzung 779 00:37:06,710 --> 00:37:10,110 der. Google Nein, das Signup ist noch 780 00:37:10,110 --> 00:37:11,950 mal anders. Ich sprech von sign in ah, du 781 00:37:11,950 --> 00:37:14,430 sprichst wirklich Signal. Ja ist schon sign in ne also 782 00:37:14,710 --> 00:37:17,470 sign in oder Login ist Anonymous, also ist das gleiche 783 00:37:17,470 --> 00:37:20,550 ne Signin und Login setzt voraus, dass ich bereits n 784 00:37:20,550 --> 00:37:22,830 Account habe. Ja wir haben diese alles das wir 785 00:37:22,830 --> 00:37:25,790 heute besprochen haben hat nichts mit Scientup zu tun ja 786 00:37:25,790 --> 00:37:29,990 okay Signal ist ist auch ist unkritisch weil Sign heißt 787 00:37:29,990 --> 00:37:33,270 nichts anderes als ich lege irgendwann mal einen Account an 788 00:37:33,270 --> 00:37:36,270 das heißt auch nichts anderes nach wie vor, dass bei dem 789 00:37:36,270 --> 00:37:38,230 Server wenn ich zum Beispiel das bei Google mache. 790 00:37:38,960 --> 00:37:42,760 Dann wird halt im Google Authorization Server mein 791 00:37:42,760 --> 00:37:45,040 Username und meine E-Mail tatsächlich verschlüsselt. 792 00:37:45,040 --> 00:37:47,600 Irgendwo muss es ja mal liegen, also das was ich ganz erzählt 793 00:37:47,600 --> 00:37:50,200 habe ist am Anfang alt ist. Das passiert ja trotzdem noch, 794 00:37:50,200 --> 00:37:52,960 weil irgendwer muss ja das Passwort kennen, es reicht aber 795 00:37:52,960 --> 00:37:56,040 wenn es quasi nur noch einer Vertrauenswürdiges kennt und 796 00:37:56,040 --> 00:38:00,120 alle anderen sich da quasi ranhängen, das ist das neue aber 797 00:38:00,200 --> 00:38:04,560 und und das Initiale erstellen dieses Perchens Username und 798 00:38:04,560 --> 00:38:08,640 Passwort, das ist der Sign Prozess, also Account Creation. 799 00:38:08,790 --> 00:38:10,470 Ich mal. Ja genau, den haben wir aber 800 00:38:10,470 --> 00:38:11,630 heute nicht gar nicht besprochen. 801 00:38:11,630 --> 00:38:13,990 So ja, also. Das heißt, bei jedem Sign in 802 00:38:13,990 --> 00:38:18,670 oder Login ja was das Gleiche ist, passiert dieser Flow noch, 803 00:38:18,670 --> 00:38:21,830 den du besprochen hast? OK, ja OK, aber jetzt noch mal 804 00:38:21,830 --> 00:38:23,870 zum Signup. Also wenn ich jetzt irgendeinen 805 00:38:23,870 --> 00:38:26,230 Webdienst das erste Mal benutze und ich wähle zum Beispiel 806 00:38:26,230 --> 00:38:29,470 Signup mit Facebook oder ich wähle Signup mit Google oder 807 00:38:29,470 --> 00:38:32,070 Signup mit Apple oder mit Microsoft oder was auch immer. 808 00:38:33,720 --> 00:38:37,880 Dann wird eigentlich werden diese Nutzername und Passwort 809 00:38:37,880 --> 00:38:40,200 bei einfach bei Google hinterlegt sozusagen und dann 810 00:38:40,200 --> 00:38:42,840 beim nächsten Mal beim Sign in. Ne, beim Signal gibt es ja kein 811 00:38:42,840 --> 00:38:44,600 neues Passwort. Ein für den Service auch nicht. 812 00:38:44,600 --> 00:38:48,480 Beim Signal ist es im Prinzip ist das das Signup wenn du ein 813 00:38:48,480 --> 00:38:50,960 Signup mit Google machst auf einer anderen Anwendung, was 814 00:38:50,960 --> 00:38:53,600 brauchst du denn, was brauchst du denn in der in der Anwendung 815 00:38:53,600 --> 00:38:55,880 die die jetzt nicht google ist? So wird es irgendwo Signal die 816 00:38:55,880 --> 00:38:58,160 braucht nichts anderes als deine id Daten die braucht deine 817 00:38:58,160 --> 00:39:01,480 E-Mail und die braucht dann vielleicht noch deinen Avatar 818 00:39:01,480 --> 00:39:03,680 mehr ist es ja nicht wenn die zuverlässig auf die braucht gar 819 00:39:03,680 --> 00:39:07,430 nicht dein Passwort weil war zuverlässig den den diesen Flow 820 00:39:07,430 --> 00:39:10,950 machen kann was die davon geht sie aus, weil die ja schon mal 821 00:39:10,950 --> 00:39:14,230 Signal über diesen, über diese, über den Drittanbieter machst. 822 00:39:14,230 --> 00:39:17,070 Ja braucht ihr das gar nicht und das Signup ist nichts anderes, 823 00:39:17,070 --> 00:39:20,430 als dass die einmalig der User angelegt wird und quasi in der 824 00:39:20,430 --> 00:39:24,150 Anwendung signup Signal hat es nicht so furchtbar, ist nicht so 825 00:39:24,150 --> 00:39:25,550 furchtbar spannendes Thema und auch nicht so 826 00:39:25,550 --> 00:39:27,950 sicherheitsrelevant, da wird halt quasi für dich ein Account 827 00:39:27,950 --> 00:39:29,990 hergestellt und in der Anwendung werden solche Container 828 00:39:29,990 --> 00:39:32,430 hochgezogen, irgendwie Ressourcen freigegeben, dass 829 00:39:32,430 --> 00:39:35,310 quasi dein Workspace eingerichtet was weiß ich Hallo 830 00:39:35,310 --> 00:39:37,230 Gerrit und so weiter kriegst du mal eine E-Mail geschickt und so 831 00:39:37,230 --> 00:39:40,550 weiter Welcome. Wirst du nur gespeichert als 832 00:39:40,550 --> 00:39:42,630 User in dem System? Da muss ich mich ja nicht 833 00:39:42,630 --> 00:39:46,190 authentifizieren, da bin ich ja, der ist automatisch der der sich 834 00:39:46,190 --> 00:39:49,870 anmeldet, quasi ja so. Also insofern ist das ist das n 835 00:39:49,870 --> 00:39:52,750 anderes Thema, sage ich. Mal OK, gut kopiert. 836 00:39:53,230 --> 00:39:55,310 Und ich wollte nochmal einen Namen sagen in diesem ganzen 837 00:39:55,310 --> 00:39:58,590 Zusammenhang, der mir quasi auch geholfen hat, das noch mal das 838 00:39:58,590 --> 00:40:01,150 Dickicht noch mal so ein bisschen zu durchdringen und es, 839 00:40:01,150 --> 00:40:07,070 das ist Nate barbetini. Früher Entwickler bei Okta ist 840 00:40:07,070 --> 00:40:08,870 die Firma, die hinter zum Beispiel O. 841 00:40:08,870 --> 00:40:12,030 Aus. Nicht uros, ich spring es dann 842 00:40:12,030 --> 00:40:15,030 aber durcheinander. Hinter Ask Zero steht aus Zero 843 00:40:15,030 --> 00:40:19,150 ist quasi ein ein ein ein Ja ein Service Provider, der genau das 844 00:40:19,150 --> 00:40:20,910 was wir heute alles besprochen macht als Service macht. 845 00:40:20,910 --> 00:40:22,870 Wenn man das jetzt also man kann das natürlich selbst 846 00:40:22,870 --> 00:40:25,990 implementieren. Kann und es kein geschlossenes 847 00:40:25,990 --> 00:40:27,790 Geheimnis, aber doch ne ziemliche Herausforderung, würd 848 00:40:27,790 --> 00:40:30,230 ich noch sagen für Entwickler und man darf da sich auch keine 849 00:40:30,230 --> 00:40:31,670 Fehler leisten, kann man sich verstehen warum. 850 00:40:33,320 --> 00:40:35,960 Und wenn man das nicht möchte, dann kann man zum Beispiel ja 851 00:40:36,080 --> 00:40:39,160 Rosiro benutzen und einer, der einer der. 852 00:40:39,950 --> 00:40:43,510 Coolen Entwickler da ist Nate Barbetini wie gesagt, der hat im 853 00:40:43,510 --> 00:40:47,390 Internet ja n paar Sachen veröffentlicht zu diesem Thema 854 00:40:47,390 --> 00:40:50,390 und es gibt viel Trash im Internet und ich würde sagen, 855 00:40:50,430 --> 00:40:52,470 wenn ihr was lesen wollt und noch mal tiefer einsteigen 856 00:40:52,470 --> 00:40:54,310 wollt, hört euch das an was Nate sagt. 857 00:40:54,630 --> 00:40:57,310 Der, der weiß, wovon er spricht. Perfekt. 858 00:40:57,310 --> 00:41:00,510 Dann linken wir das Video natürlich wie immer ne, du sag 859 00:41:00,750 --> 00:41:05,870 doch mal was zu Single sign on bitte das richtig Stichwort 860 00:41:05,870 --> 00:41:07,590 kommen wir bei denen ganzen Sachen auch noch so im Kopf 861 00:41:07,590 --> 00:41:11,550 irgendwie. Ja, also genau Single Sign on. 862 00:41:11,590 --> 00:41:13,950 Also das kennt man ja da. Was heißt denn Single sign on? 863 00:41:13,950 --> 00:41:17,070 Heißt er eigentlich, dass ich nicht bei jedem Doodle und Dödel 864 00:41:17,070 --> 00:41:20,470 irgendwie meine neue Usernames und Passworts eingeben muss? 865 00:41:20,550 --> 00:41:23,350 Also es gab ja mal eine lange Zeit, als dieses UOS noch nicht 866 00:41:23,350 --> 00:41:26,230 so etabliert war, ich sag mal so, zwischen dieser ganz 867 00:41:26,230 --> 00:41:28,430 anfänglichen Zeit so, Oh, das kennen wir ja, und deswegen gibt 868 00:41:28,430 --> 00:41:30,950 es ja auch diese Passwortmanager und so weiter du musst ja, du 869 00:41:30,950 --> 00:41:33,990 hast ja zig Services, deine Bank und übrigens die Banken kann 870 00:41:33,990 --> 00:41:36,550 auch noch mal sagen, die Banken. Auch nicht so weit, dass sie 871 00:41:36,550 --> 00:41:39,270 irgendwie, obwohl sie es schon so lange gibt und überall im 872 00:41:39,270 --> 00:41:41,030 Internet Standard ist, haben die Banken das noch nicht 873 00:41:41,030 --> 00:41:43,870 akzeptiert. Ja, was die Bank gewählt haben, 874 00:41:44,030 --> 00:41:46,910 hat das aber ne, ja genau, aber also wenn ich sage die Banken, 875 00:41:46,910 --> 00:41:50,270 da meine ich so 90% dieser Standards und so weiter ne. 876 00:41:50,910 --> 00:41:53,030 Also die diese, die sind dem Ganzen hinterher noch so. 877 00:41:53,030 --> 00:41:55,230 Ja, und die haben manchmal noch so gruselige Sachen, wo wenn da 878 00:41:55,230 --> 00:41:57,470 gibt es manchmal so APIS, die dann einsammeln für dich, wenn 879 00:41:57,470 --> 00:41:59,790 du mehrere Konten hast, was weiß ich Kommerz und Deutsche und 880 00:41:59,790 --> 00:42:02,150 hast du nicht gesehen, da musst du dann tatsächlich noch 881 00:42:02,150 --> 00:42:04,830 Usernamen Passwort von jedem einzelnen Dings eingeben, totale 882 00:42:04,830 --> 00:42:08,270 Chaos, aber die das aber egal. Überrascht mich irgendwie auch 883 00:42:08,270 --> 00:42:12,510 überhaupt nicht, aber gut, wir waren bei Single Sign on genau 884 00:42:12,510 --> 00:42:15,710 und das ist quasi die Antwort auf den Schmerz, dass ich 885 00:42:15,950 --> 00:42:19,710 überall, wo ich mich irgendwo einlogge im Internet einlogge, 886 00:42:19,710 --> 00:42:22,950 ja meinen eigenen Username und ne andere E-Mail hab ja und wo 887 00:42:22,950 --> 00:42:25,150 dann die Leute sagen, ja du darfst auf jeden Fall dann nicht 888 00:42:25,150 --> 00:42:26,830 überall das gleiche Passwort nehmen, weil es ja total 889 00:42:26,830 --> 00:42:29,590 unsicher ist. Ja auch total richtig, weil die 890 00:42:29,590 --> 00:42:30,830 alle, wenn die alle ihr gammeliges 891 00:42:30,830 --> 00:42:32,910 Authentifizierungssystem machen und die Leaken halt die 892 00:42:32,910 --> 00:42:36,470 Passwords dahin und du hast halt überall das gleiche so und 893 00:42:36,470 --> 00:42:39,630 Single Signal heißt ich will mich halt nicht bei jedem 894 00:42:39,630 --> 00:42:42,800 verschieden. Webservice mit einem neuen 895 00:42:42,800 --> 00:42:46,240 Username und Passwort Paar einloggen müssen, 896 00:42:46,240 --> 00:42:48,280 authentifizieren und autorisieren müssen. 897 00:42:48,280 --> 00:42:53,080 Ich möchte halt es nur einmal tun und da und das könnt ihr 898 00:42:53,080 --> 00:42:55,840 euch vorstellen, davon haben wir eigentlich gesprochen, die ganze 899 00:42:55,840 --> 00:42:58,640 Folge lang, also wenn wenn wenn ich halt ein ISP habt ihr ihm 900 00:42:58,640 --> 00:43:02,440 vertraue ein Identification Service Provider Identification 901 00:43:02,440 --> 00:43:05,040 ist der Oberbegriff für Authorization und und und 902 00:43:05,040 --> 00:43:07,440 authentification also wenn ich zum Beispiel Google einmal 903 00:43:07,440 --> 00:43:11,550 vertrauen möchte oder Facebook. Das heißt Microsoft ja oder 904 00:43:11,550 --> 00:43:14,310 sogar vielleicht irgendwie. Und SSO kann man ja auch. 905 00:43:14,310 --> 00:43:18,870 Ne SSO wäre im krassesten Sinne webweit durchs ganze Internet, 906 00:43:18,870 --> 00:43:21,310 da muss ich jemandem vertrauen wie Microsoft, Google, Facebook 907 00:43:21,310 --> 00:43:25,030 oder Github oder sowas, ja dann funktioniert es genauso und dann 908 00:43:25,030 --> 00:43:27,030 mach ich und wenn die Dienste das anbieten, dann hab ich 909 00:43:27,030 --> 00:43:29,150 Single Sign on weil geht alles nur noch über meinen Google 910 00:43:29,150 --> 00:43:32,110 Account bums aus und ist total easy ich muss mir kein anderes 911 00:43:32,110 --> 00:43:35,110 Passwort mehr merken, dann kann ich das machen oder es gibt 912 00:43:35,110 --> 00:43:37,910 manchmal auch wenn du große Konzerne hast haben die oft ja 913 00:43:37,910 --> 00:43:40,670 auch schon so Active Directorys und so weiter und die haben ja 914 00:43:40,670 --> 00:43:43,470 auch zig Dienste und Abteilungen, das ist dann nicht 915 00:43:43,470 --> 00:43:45,950 ganz so OS 2 oder vielleicht sogar doch, kommt drauf an wie 916 00:43:45,950 --> 00:43:48,950 sie es implementiert haben, aber das heißt auch Single Sign on du 917 00:43:48,950 --> 00:43:54,030 loggst dich einmal morgens ein. Firmennetz und hast halt Zugriff 918 00:43:54,030 --> 00:43:57,710 auf die ganzen Services, weil halt da irgendwelche Dienste 919 00:43:57,710 --> 00:44:01,870 drüber sind, die quasi dieses Ganze unter authentifizieren auf 920 00:44:01,870 --> 00:44:03,550 andere Dienste und so weiter für dich ablösen. 921 00:44:03,550 --> 00:44:05,030 Ich glaub es. Hat einfach irgendwas, macht 922 00:44:05,030 --> 00:44:07,030 genau sowas auch ne machen so. Machen sowas auch. 923 00:44:07,030 --> 00:44:09,030 Genau das gibt es auch noch. Ich hab jetzt heute ein 924 00:44:09,030 --> 00:44:10,910 bisschen, es gibt noch so Protokolle wie Sammel und so 925 00:44:10,910 --> 00:44:13,830 weiter es gab natürlich Zwischenstufen bis wir zu diesem 926 00:44:13,830 --> 00:44:16,270 wo wir sagen, jetzt ist es eigentlich schon relativ lange 927 00:44:16,270 --> 00:44:19,990 so, dass Oors 2 einfach der Platzhirsch ist. 928 00:44:19,990 --> 00:44:22,750 Das hat sich erfolgreich etabliert, das scheint so 929 00:44:22,750 --> 00:44:24,510 ausgereift zu sein, dass auch nichts mehr fehlt. 930 00:44:25,590 --> 00:44:27,310 Ich mal nicht, weil das ist ja so ne im Internet, die ist ja 931 00:44:27,310 --> 00:44:28,630 einfach so ne Evolution der Dinge. 932 00:44:28,630 --> 00:44:30,870 Ja, zwischendurch gab es halt sowas wie sammeln noch und so 933 00:44:31,030 --> 00:44:33,390 und diese alte Gammel, der lebt halt noch irgendwo und das haben 934 00:44:33,390 --> 00:44:35,990 nicht alle umgestellt und dann gibt es so Firmen wie Okta die 935 00:44:35,990 --> 00:44:38,310 da halt drüber bügeln, dass sich da keinen Schmerz hab und dass 936 00:44:38,310 --> 00:44:40,870 ich trotzdem das Ding jetzt sign on Erfahrung bekomme als Nutzer. 937 00:44:42,560 --> 00:44:44,800 Und die bügeln alles und drunter glatt mit irgendwelchen Bridging 938 00:44:44,800 --> 00:44:48,280 Services und so weiter. Wie ist es jetzt als als sag ich 939 00:44:48,280 --> 00:44:53,080 mal als Heisenwert zum Beispiel können wir selbst so einen Flow 940 00:44:53,080 --> 00:44:56,320 aus Flow os 20 Flow implementieren oder brauchen wir 941 00:44:56,320 --> 00:45:01,560 auch immer einen externen Anbieter um sowas auch nutzen zu 942 00:45:01,560 --> 00:45:04,040 können oder sowas? Also wie kann man sich das? 943 00:45:05,040 --> 00:45:05,640 Vorstellen. Sehr. 944 00:45:05,840 --> 00:45:08,120 Gute Frage, Es geht. Beides, ja genau, und vor allen 945 00:45:08,120 --> 00:45:09,800 Dingen, als ich mich jetzt vorbereitet habe für die Folge, 946 00:45:09,800 --> 00:45:11,160 habe ich mir gedacht, okay ist ja doch gar nicht so 947 00:45:11,160 --> 00:45:13,440 kompliziert, ich habe es immer nie, also ich habe immer 948 00:45:13,440 --> 00:45:15,200 gedacht, so, also pass auf, das ist ja. 949 00:45:16,390 --> 00:45:18,270 Ich mach das jetzt auch, Software nicht seit gestern so, 950 00:45:18,270 --> 00:45:21,230 aber das sind ja so Themen bei Authentifizierung und 951 00:45:21,230 --> 00:45:23,190 Autorisierung denk ich mir immer so, da darf halt auch nichts 952 00:45:23,190 --> 00:45:26,830 schief gehen so ja, also wenn das irgendwie weggedrückt 953 00:45:26,830 --> 00:45:29,310 kriegst, drück es halt weg zu irgendjemandem der weiß wie es 954 00:45:29,310 --> 00:45:31,230 geht. Ja und so machen wir es gerade. 955 00:45:31,790 --> 00:45:33,910 Es ist aber tatsächlich kein Hexenwerk und wenn du diesem 956 00:45:33,910 --> 00:45:36,430 Framework folgst, diesem Ohaus 2, da kannst du auch gar nicht 957 00:45:36,430 --> 00:45:38,630 so viel falsch machen. Man könnte es auch selber 958 00:45:38,630 --> 00:45:39,470 machen. Ja, wir. 959 00:45:40,230 --> 00:45:42,590 Wir haben natürlich jetzt im Moment 2 Anbieter, sogar die 960 00:45:42,590 --> 00:45:44,710 wir, die wir benutzen. Tatsächlich sind wir mit mit 961 00:45:44,710 --> 00:45:47,950 Ossiro dabei, jetzt haben wir ne neue Firma vielleicht, die kommt 962 00:45:47,950 --> 00:45:49,030 jetzt rein, ich sag das einfach mal. 963 00:45:49,030 --> 00:45:52,470 Member Stack sieht auch ganz gut aus und die die machen das quasi 964 00:45:52,470 --> 00:45:55,070 auch nebenbei als Dienst. Weißt auch kein es kann Voodoo 965 00:45:55,070 --> 00:45:56,790 ja also. Und dann kann man sich einfach 966 00:45:56,790 --> 00:45:58,830 mit dranhängen an diesen Dienst und musst. 967 00:45:58,830 --> 00:46:02,550 Und im Prinzip macht man es, man implementiert es, aber es gibt 968 00:46:02,550 --> 00:46:06,470 quasi ne Art SDK Software Development Kit, das klebst du 969 00:46:06,470 --> 00:46:08,750 halt in dein React rein, das heißt dann irgendwie React 970 00:46:08,750 --> 00:46:11,630 Member Stack so und dann sage ich halt, dann habe ich da so 971 00:46:11,630 --> 00:46:13,870 ein Hook wie das heißt, also hochliegende Funktionen sage ich 972 00:46:14,030 --> 00:46:17,390 ist der authentifiziert und gibt die Funktionen Zeilen ab, gibt 973 00:46:17,390 --> 00:46:21,230 es tatsächlich so einfach gab es die Vorsign Sign in und ist 974 00:46:21,230 --> 00:46:25,230 authenticated da so weil ich als Entwickler in meiner App brauche 975 00:46:25,230 --> 00:46:27,430 ich gar nicht so viel mehr als das und ich kann irgendwie die 976 00:46:27,430 --> 00:46:30,750 user Daten abrufen und das gibt dir das Ding halt for free ja 977 00:46:30,750 --> 00:46:32,630 was soll ich dann jetzt noch muss ich mir nicht selber mit 978 00:46:32,630 --> 00:46:34,870 dem o aus 2 geraffel da irgendwie an die Haare schmeißen 979 00:46:34,870 --> 00:46:36,950 so. Jaja, das ist total wichtig. 980 00:46:36,950 --> 00:46:38,990 Ja, aber mein kleines Team hat, muss man sich ja auf die 981 00:46:39,710 --> 00:46:42,990 Kompetenz. Ja, genau deswegen machen wir 982 00:46:42,990 --> 00:46:46,310 das so, ja. Dann war es das zum Thema 983 00:46:46,750 --> 00:46:49,350 Authorization und Authentication. 984 00:46:49,350 --> 00:46:50,990 Oder? Ja, ich hoffe ich hab es mitsamt 985 00:46:50,990 --> 00:46:53,950 mit genügend Samthandschuhen angefasst und nicht nicht viel 986 00:46:53,950 --> 00:46:56,590 Quatsch erzählt, aber ich ich hab es auch hoffentlich auf 987 00:46:56,590 --> 00:46:58,310 einem Level gehalten wo wir das irgendwie einigermaßen 988 00:46:58,310 --> 00:47:00,190 durchgestiegen sind. Ja, und du hast es vor allem 989 00:47:00,190 --> 00:47:01,630 immer richtig rumgesagt. Ich habe es öfter mal 990 00:47:01,630 --> 00:47:05,110 verwechselt, Autorisierung und. Authentifizierung aber es ist 991 00:47:05,110 --> 00:47:07,310 klar, das müssen wir nochmal zurückspulen zum Anfang. 992 00:47:07,510 --> 00:47:09,670 Ja, ich fand, das war doch eine würdige Folge. 50. 993 00:47:09,670 --> 00:47:12,350 Auf jeden Fall würde mich freuen, wenn ihr uns treu bleibt 994 00:47:12,350 --> 00:47:16,360 für die nächsten 50 folgen. Ja gut, ja, das wäre natürlich 995 00:47:16,360 --> 00:47:17,840 schön, ihr merkt. Schon wir machen jetzt ab und zu 996 00:47:17,840 --> 00:47:20,440 mal Gäste und dann wieder eine Folge ohne Gäste. 997 00:47:20,440 --> 00:47:22,680 Sozusagen, versuchen jetzt diesen Rhythmus so Beizubeimen, 998 00:47:22,800 --> 00:47:25,360 aber mal sehen. Ja, ich hoffe, es hat euch Spaß 999 00:47:25,360 --> 00:47:28,000 gemacht und es war auf einem verdaulichen Level. 1000 00:47:28,040 --> 00:47:29,800 Ja schauen wir mal. Es kommt auf jeden Fall nochmal 1001 00:47:29,800 --> 00:47:31,760 eine Folge, die ist schwerer verdaulich, das kann ich jetzt 1002 00:47:31,760 --> 00:47:33,640 schon mal sagen, freue mich aber auch drauf, ich glaube wir haben 1003 00:47:33,640 --> 00:47:36,360 noch mal eine Blockchain Blockchain Folge schon im petto. 1004 00:47:36,360 --> 00:47:38,720 Ach so, ja auch ob die so schwer, ja. 1005 00:47:39,000 --> 00:47:41,080 Die ist schön, da könnt ihr euch schon drauf freuen. 1006 00:47:41,080 --> 00:47:42,880 Wer nochmal Blockchain in die Deep hören will. 1007 00:47:43,430 --> 00:47:46,070 Darf da gerne noch mal zuhören, mit Experten, mit Experten? 1008 00:47:46,070 --> 00:47:47,510 Ja, auf jeden Fall, das hätte ich nicht alleine gemacht. 1009 00:47:49,160 --> 00:47:52,040 Prima also das war es für heute. Danke fürs Zuhören und Danke 1010 00:47:52,040 --> 00:47:54,040 Burkhard, bis nächste Woche Tschüss aus Hamburg. 1011 00:47:55,880 --> 00:47:58,520 Einfach komplex wird produziert und präsentiert von Heisenware. 1012 00:47:58,720 --> 00:48:01,520 Weitere Informationen findest du unterheizenware.com. 1013 00:48:01,960 --> 00:48:04,520 Vielen Dank fürs Hören dieser Folge und bis nächste Woche 1014 00:48:04,600 --> 00:48:05,360 Tschüss aus Hamburg.