Anmelden Ticket
Hilfe API & Integrationen Neue OAuth 2.0 Authentifizierungsflows

Neue OAuth 2.0 Authentifizierungsflows

insery Dev Team 01.06.2026 Aktualisiert 05.06.2026 430 1/1 hilfreich

Authorization Code Flow mit PKCE

Der empfohlene Flow für öffentliche Clients (SPAs, Mobile Apps). PKCE verhindert Code-Injection-Angriffe ohne Client-Secret.

  1. Generiere code_verifier und code_challenge (SHA-256-Hash, Base64url-kodiert).
  2. Leite den Nutzer zu /oauth/authorize?response_type=code&code_challenge=...&code_challenge_method=S256 weiter.
  3. Tausche den erhaltenen Code gegen ein Access Token unter POST /oauth/token aus.

Token-Lebensdauer

  • Access Token: 1 Stunde
  • Refresh Token: 30 Tage (rotierend)
Refresh Tokens werden bei jeder Verwendung rotiert. Halte immer das neueste Token vor und invalidiere alte sofort.
OAuth API Auth

War dieser Artikel hilfreich?

1/1 hilfreich