Wir alle kennen OAuth2 und OIDC. Aber die Landschaft hat sich verändert. Mit dem Aufstieg von Heavy-Client-Side-Apps, Machine-to-Machine-Agenten und Zero-Trust-Vorgaben reicht der "Standard"-Flow nicht mehr aus.
Aus meiner Erfahrung beim Bau einer Identity-Server-Lösung, erkunden wir die fortgeschrittenen Identity-Patterns für moderne Apps. Wir behandeln den Wechsel zu "Sender Constrained Tokens" (DPoP), Hochsicherheits-Flows für SPAs (BFF-Pattern vs. Token Handler) und wie man nicht-menschliche Agenten, die auf APIs zugreifen, sicher authentifiziert. Hört auf, Bearer-Token zu leaken, und beginnt mit einer Identity-Architektur, die den Bedrohungen von 2026 standhält.