Was ist Offline-Zugang?
Das Konzept des Offline-Zugangs kann je nach Kontext variieren, wir konzentrieren uns auf die OAuth 2.0 und OpenID Connect (OIDC) Spezifikationen. In diesem Kontext ermöglicht Offline-Zugang es Clients, neue Access Tokens (Zugriffstoken) mit einem Refresh Token (Auffrischungstoken) zu erhalten, ohne dass der Benutzer sich erneut authentifizieren muss. Diese Funktion ist besonders nützlich für langlebige Sitzungen und eine bessere Benutzererfahrung.
Es ist zu beachten, dass OAuth 2.0 den Begriff “Offline-Zugang” nicht explizit definiert; es spezifiziert lediglich die Nutzung von Refresh Tokens, um neue Access Tokens zu erhalten. Der Begriff “Offline-Zugang” (zusammen mit dem offline_access Scope) wurde jedoch in der Branche weitgehend übernommen, um diese Fähigkeit zu beschreiben, und ist in der OpenID Connect (OIDC) Spezifikation offiziell definiert.
Wie funktioniert der Offline-Zugang?
Zur Vereinfachung verwenden wir die OAuth 2.0 Begriffe Autorisierungsanfrage (Authorization request) und Autorisierungsserver (Authorization server) , um zu veranschaulichen, wie Offline-Zugang funktioniert. Ihre alternativen Begriffe in OIDC sind Authentifizierungsanforderung (Authentication request) und OpenID Provider (OP) .
Es gibt zwei Hauptschritte bei der Nutzung des Offline-Zugangs:
- Offline-Zugang anfordern: Wenn der Client eine Authorization Request (Autorisierungsanfrage) an den Authorization Server (Autorisierungsserver) initiiert, schließt er den
offline_accessScope ein, um Offline-Zugang anzufordern. Dieser Scope zeigt an, dass der Client einen Refresh Token zusammen mit dem Access Token erhalten möchte.
Die Unterstützung für Offline-Zugang kann je nach Authorization Server variieren, und der Authorization Server kann den offline_access Scope ignorieren, wenn er diesen nicht unterstützt. Bitte konsultiert die Dokumentation des Authorization Servers, um die Kompatibilität sicherzustellen, bevor ihr diesen Scope verwendet.
- Verwendung des Refresh Tokens: Sobald der OAuth 2.0-Berechtigungsgewährung (OAuth 2.0 grant) abgeschlossen ist, sollte der Client ein Aktualisierungs-Token (Refresh token) zusammen mit dem Zugriffstoken (Access token) erhalten. Der Client kann das Refresh Token sicher speichern und es verwenden, um eine Tokenanforderung (Token request) an den Authorization Server zu senden, um ein neues Access Token zu erhalten, wenn das aktuelle Access Token abläuft.
Für detaillierte Beispiele zur Offline-Zugangs-Nutzung, besucht bitte den Aktualisierungs-Token (Refresh token) Artikel.
Sicherheitsüberlegungen
Die sicherheitsrelevanten Auswirkungen des Offline-Zugangs sind ähnlich wie die der Refresh Tokens. Bitte beachtet den Abschnitt Sicherheitsüberlegungen des Refresh Tokens für Details.