Modernisierung der OAuth-Interaktionen soll mehr Sicherheit bieten

Google stellt Support von OAuth-Requests in Web-Views ein
Kommentare

Bei vielen Third-Party-Applikationen haben Google-Nutzer bereits die Möglichkeit, sich mit ihrem Google-Account anzumelden – im Prinzip eine sichere und problemlose Lösung, die dem User viel Komfort bietet. Nun stellt Google jedoch eine der Möglichkeiten zur Umsetzung von solchen OAuth-Requests in Embedded Browsern (Web-Views) ein.

Damit will Google vor allem die Usability, aber auch die Sicherheit von OAuth-Requests verbessern. Im Google-Entwicklerblog hat William Denniss die Hintergründe dazu zusammengefasst.

OAuth-Requests in Web-Views: wenig Usability

Schon lange können Google-User ihren Google-Account auch zum Sign-In bei Third-Party-Applikationen nutzen oder ausgewählte Informationen wie etwa ihren Kalender oder Kontaktinformationen mit anderen Apps teilen. Solche Anfragen laufen über OAuth-Requests ab, die Entwickler auf verschiedene Arten implementieren können.

Dazu zählte bisher auch der Support solcher Anfragen in Embedded Browsern, besser bekannt als Web-Views, wie etwa dem WebView-UI-Element bei Android oder UIWebView/WKWebView bei iOS sowie deren Äquivalenten unter Windows und OSX. Genau dieser Support wird nun zugunsten einer besseren Usability und mehr Sicherheit eingestellt.

Bisher müssen sich User bei jedem Aufruf eines OAuth-Requests neu anmelden, anstatt auf einen früheren Login über den Google-Account auf demselben Gerät Zugriff auf eine Applikation zu erhalten. Ebenso können Apps Content in der Web-View inspizieren und modifizieren, was ein nicht zu verachtendes Sicherheitsrisiko birgt.

Dagegen müssen sich User bei der Nutzung des Device-Browsers für die Ausführung von OAuth-Requests nur einmal pro Device anmelden, was nicht nur für einen besseren Authentifizierungs-Flow sondern auch für eine verbesserte Conversion-Rate beim Sign-In sorgen kann. Ebenso bieten moderne In-App-Browser-Tab-Pattern weitere UX-Verbesserungen für browserbasierte OAuth-Flows.

Migration zu einer anderen Methode

Um eben für mehr Sicherheit und Usability bei der Nutzung von OAuth-Requests zu sorgen, müssen Entwickler nun auf eine andere Methode zur Implementierung ausweichen. Dafür stehen einige Libraries und Beispiele zur Verfügung, die modernen Best Practices folgen:

  • Google Sign-In für Android und iOS
  • AppAuth für Android, iOS und OSX und GTMAppAuth für iOS und OSX
  • Google Sign-in and OAuth Examples for Windows

Google plant den Start der Deprecation von Web-Views für OAuth-Requests ab dem 20. Oktober. Ab dann sollen neue OAuth-Clients an der Nutzung von Web-Views gehindert werden, wenn für die entsprechende Plattform einige realisierbare Alternative zur Verfügung steht. Ab dem 20. April 2017 werden dann alle OAuth-Requests, die Web-Views nutzen, für alle OAuth-Clients blockiert.

Mehr Informationen dazu bietet der oben genannte Blogpost, dort finden sich auch noch mal einige weitere Tipps zur Migration einer anderen Sign-In-Option.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -