OAuth2 Playground

1 Die Autorisierung starten

Der Flow beginnt, indem der Nutzer zur Login-Seite des Auth-Servers umgeleitet wird. Dabei werden Parameter wie client_id, redirect_uri und eine code_challenge (für PKCE) übergeben.

Beispiel URL (GET):


                Wird geladen...

2 Code gegen Token tauschen

Warte auf Autorisierungs-Code... (Logge dich in Schritt 1 ein)

Du hast einen Code erhalten! Diesen siehst du in der URL. Dieser Code ist nur kurz gültig und muss nun vom Backend gegen echte Tokens getauscht werden.

Was ist PKCE (Proof Key for Code Exchange)?

PKCE verhindert, dass ein Angreifer einen abgefangenen Autorisierungs-Code missbraucht.

Code Verifier: Ein kryptographisch zufälliger String (das "Geheimnis"), den der Client lokal erzeugt.
Code Challenge: Der (meist) SHA256-gehashte und Base64-kodierte Verifier, der beim Login an den Server gesendet wird.

Beim Token-Exchange sendet der Client den ursprünglichen Verifier mit. Der Server hasht diesen erneut und prüft, ob er zur zuvor gespeicherten Challenge passt. Nur wer den Verifier kennt, kann den Code tauschen.

OAuth2 Playground

1 Die Autorisierung starten

Beispiel URL (GET):

2 Code gegen Token tauschen

3 Tokens erhalten

Letzte Server Antwort

4 JWT dekodieren & prüfen

Korrektheitsprüfung (Signature Verification)