OAuth 2.0 / OIDC

OAuth 2.0 ist der Standard für die delegierte Autorisierung. OpenID Connect (OIDC) ist die darauf aufbauende Identitätsschicht. Zusammen bilden sie die moderne Methode, mit der ein Kommentarsystem an das bestehende Leserkonto- bzw. Paywall-System eines Publishers angebunden wird.

Der Ablauf, einfach erklärt

1. Eine Leserin oder ein Leser klickt im Logora-Widget auf „Kommentieren”.
2. Logora leitet mit einer OAuth-authorize-Anfrage an Ihren IdP weiter (Auth0, Okta, Ihr eigener Server).
3. Die Leserin oder der Leser authentifiziert sich (oder wird über eine aktive Sitzung erkannt).
4. Ihr IdP liefert einen Autorisierungscode zurück.
5. Logora tauscht den Code gegen ein Access-Token und ein ID-Token (OIDC) ein.
6. Logora prüft die Signatur des ID-Tokens, extrahiert die Identität der Leserin oder des Lesers und ordnet den Kommentar diesem Konto zu.

Der gesamte Ablauf bleibt für die Leserin oder den Leser unsichtbar, wenn sie oder er bereits auf Ihrer Website angemeldet ist.

Was Logora unterstützt

• OAuth 2.0 Authorization Code Flow mit PKCE (empfohlen).
• OpenID Connect für Identitäts-Claims.
• JWT-Access-Tokens mit strenger Algorithmus-Validierung (RS256, ES256).
• Backchannel-Logout (im April 2026 hinzugefügt): Wenn sich die Leserin oder der Leser von Ihrer Hauptseite abmeldet, wird Logora serverseitig benachrichtigt, sodass keine veraltete Sitzung im Kommentar-Widget verbleibt.
• Refresh-Tokens für langlebige Sitzungen.

Häufige Sonderfälle

• Token-Ablauf mitten in der Debatte: Konfigurieren Sie Refresh-Tokens oder richten Sie die Sitzungsdauer am Leseverhalten aus (15-30 Min.).
• Verlagsgruppen mit mehreren Titeln: Mandantenfähige OAuth-Client-Konfiguration, ein IdP für mehrere Logora-Deployments (Ringier, Mediahuis, Funke).
• Benutzerdefinierte Claims: Übergabe von Abo-Stufe, Paywall-Level und Gamification-Punkten aus Ihrem IdP an das Kommentar-Widget, um Premium-Funktionen freizuschalten.

Siehe SSO für das übergeordnete Konzept und JWT für das Token-Format.