Was ist Authentifizierung durch Besitz?

OAuth Grant Types (auf Deutsch: OAuth-Berechtigungsarten oder -Flüsse) sind verschiedene Methoden, mit denen ein Client (z. B. eine App oder Webseite) im OAuth 2.0-Protokoll Zugriff auf geschützte Ressourcen eines Benutzers anfordern kann. Sie bestimmen, wie der Client ein Zugriffstoken vom Autorisierungsserver erhält. Die wichtigsten Grant Types sind: 1. **Authorization Code Grant** Wird meist von Webanwendungen verwendet. Der Benutzer authentifiziert sich beim Autorisierungsserver, erhält einen Autorisierungscode und tauscht diesen dann gegen ein Zugriffstoken aus. 2. **Implicit Grant** Für reine Browser-Apps (Single Page Applications). Das Zugriffstoken wird direkt im Browser ausgegeben, ohne Zwischenschritt über einen Code. Wird heute aus Sicherheitsgründen kaum noch empfohlen. 3. **Resource Owner Password Credentials Grant** Der Benutzer gibt seine Zugangsdaten direkt an den Client weiter, der diese an den Server sendet. Wird nur in Ausnahmefällen genutzt, da die Sicherheit geringer ist. 4. **Client Credentials Grant** Wird verwendet, wenn der Client selbst (ohne Benutzer) auf Ressourcen zugreifen möchte, z. B. bei serverseitigen Prozessen oder Machine-to-Machine-Kommunikation. 5. **Device Code Grant** Für Geräte ohne oder mit eingeschränkter Eingabemöglichkeit (z. B. Smart TVs). Der Benutzer gibt einen Code auf einem anderen Gerät ein, um den Zugriff zu autorisieren. Jeder Grant Type ist für bestimmte Anwendungsszenarien gedacht und bringt eigene Sicherheitsaspekte mit sich. Weitere Informationen findest du z. B. in der offiziellen OAuth 2.0 Spezifikation: https://datatracker.ietf.org/doc/html/rfc6749

Der Device Code ist ein Bestandteil des sogenannten "Device Authorization Grant" (auch "Device Flow" genannt) in OAuth2. Dieser Grant Type wurde speziell für Geräte ohne oder mit eingeschränkter Eingabemöglichkeit (z. B. Smart TVs, IoT-Geräte, Drucker) entwickelt. **Ablauf:** 1. Das Gerät fordert beim Authorization Server einen Device Code und einen User Code an. 2. Der Device Code wird vom Gerät verwendet, um später das Access Token abzurufen. 3. Der User Code und eine Verifizierungs-URL werden dem Benutzer angezeigt. 4. Der Benutzer gibt den User Code auf einem anderen Gerät (z. B. Smartphone, PC) unter der angegebenen URL ein und authentifiziert sich. 5. Das Gerät fragt regelmäßig beim Authorization Server an, ob der Benutzer die Autorisierung abgeschlossen hat (Polling mit dem Device Code). 6. Nach erfolgreicher Autorisierung erhält das Gerät ein Access Token. **Grant Type:** Der Grant Type für diesen Flow ist `urn:ietf:params:oauth:grant-type:device_code`. **Device Code:** Der Device Code ist ein eindeutiger, vom Authorization Server generierter Code, der das Gerät identifiziert und mit der Autorisierungsanfrage verknüpft. **Weitere Infos:** - [RFC 8628: OAuth 2.0 Device Authorization Grant](https://datatracker.ietf.org/doc/html/rfc8628) - [Microsoft Dokumentation zum Device Code Flow](https://learn.microsoft.com/de-de/azure/active-directory/develop/v2-oauth2-device-code) **Zusammengefasst:** Der Device Code ist ein technischer Schlüssel, der im Device Authorization Grant von OAuth2 verwendet wird, um Geräte ohne komfortable Eingabemöglichkeit sicher zu autorisieren.