Session Management

Das Session Management in anolink wird vollständig über Auth0 gesteuert. Dadurch basiert die gesamte Authentifizierung und Autorisierung auf modernster Technologie und den höchsten Sicherheitsstandards.

Authentifizierung über JSON Web Tokens (JWT)

Nach der Anmeldung eines Nutzers erzeugt Auth0 sogenannte JSON Web Tokens (JWT). Diese Token sind digitale, signierte Datensätze, die Informationen über den Benutzer und seine Berechtigungen enthalten. Jedes Token besteht aus drei Teilen – Header, Payload und Signature – und wird verschlüsselt übertragen.

Der Header definiert den Typ des Tokens und das verwendete Signaturverfahren (z. B. HMAC oder RSA). Die Payload enthält Claims, also die tatsächlichen Informationen, etwa Benutzer-ID, Rollen oder Ablaufzeit. Die Signature stellt sicher, dass das Token nicht manipuliert wurde.

Da JWTs unabhängig vom Serverzustand funktionieren, können sie sicher in verschiedenen Systemkomponenten überprüft werden, ohne dass Sitzungsdaten zentral gespeichert werden müssen. Das erhöht die Skalierbarkeit und sorgt für eine performante, sichere Authentifizierung.

Zugriffskontrolle und Token-Arten

anolink nutzt verschiedene Arten von Tokens, um den Zugriff auf Funktionen und Daten präzise zu steuern:

Access Token: wird verwendet, um geschützte API-Endpunkte aufzurufen.

ID Token: enthält Benutzerinformationen und wird meist clientseitig genutzt.

Refresh Token: kann, falls aktiviert, genutzt werden, um neue Tokens anzufordern, ohne sich erneut anmelden zu müssen.

Jede Anfrage an geschützte Ressourcen wird serverseitig überprüft. Funktionen innerhalb von anolink können nur mit einem gültigen Token aufgerufen werden. Abgelaufene oder ungültige Tokens werden sofort abgewiesen.

Sitzungsdauer und Sicherheit

Eine Session ist standardmäßig zwei Stunden aktiv. Nach Ablauf dieser Zeit oder bei längerer Inaktivität wird der Zugriff automatisch beendet, und der Benutzer muss sich erneut anmelden.

Dadurch wird das Risiko unbefugter Zugriffe durch verwaiste Sitzungen minimiert.

Zusätzlich sorgt Auth0 mit Mechanismen wie Token Rotation, Session Revocation und Device Fingerprinting dafür, dass Sessions jederzeit kontrolliert und bei Bedarf sofort beendet werden können.

Dieses Session-Management-Konzept gewährleistet, dass alle Zugriffe auf anolink eindeutig authentifiziert, nachvollziehbar und jederzeit sicher sind.