Dictionary

OAuth

OAuth is een autorisatieprotocol waarmee een applicatie beperkte toegang krijgt tot een account of API zonder het wachtwoord van de gebruiker te kennen. Je kent het van knoppen zoals "Inloggen met Microsoft" of "Toegang geven tot Google Drive".

Wat is OAuth?

OAuth is een autorisatieprotocol. Het laat een applicatie beperkte toegang krijgen tot een dienst zonder dat de applicatie jouw wachtwoord krijgt.

Je kent het van knoppen zoals "Inloggen met Microsoft" of "Toegang geven tot Google Drive". De app vraagt toestemming, de identiteitsprovider toont welke rechten gevraagd worden, en daarna krijgt de app een token waarmee ze binnen die grenzen mag werken.

Het verschil met wachtwoorden delen is groot. Een wachtwoord geeft vaak volledige toegang. Een OAuth-token kan beperkt zijn tot bepaalde rechten en kan later ingetrokken worden.

Hoe werkt OAuth in grote lijnen?

Er zijn vier rollen. De resource owner is de gebruiker of organisatie die de data bezit. De client is de applicatie die toegang vraagt. De authorization server geeft tokens uit. De resource server is de API die de data of actie aanbiedt.

De client stuurt de gebruiker naar de authorization server. De gebruiker logt daar in en geeft toestemming. Daarna krijgt de client een access token. Met dat token roept de client de API aan.

In bedrijfsintegraties gebeurt dit soms zonder interactieve gebruiker, bijvoorbeeld met een service account of app-registratie. Het principe blijft: beperkte, controleerbare toegang via tokens.

Waarvoor gebruik je OAuth?

  • Connectors
    Een flow krijgt toegang tot SharePoint, Salesforce of Exact zonder een wachtwoord op te slaan.

  • API-integraties
    Een app krijgt alleen de scopes die ze nodig heeft.

  • Single sign-on scenario's
    OAuth werkt vaak samen met OpenID Connect voor inloggen.

  • Toegang intrekken
    Een beheerder kan tokens of app-toegang blokkeren zonder wachtwoorden te resetten.

OAuth versus API-sleutel

Een API-sleutel identificeert meestal een applicatie of project. OAuth gaat verder: het koppelt toestemming, scopes, tokens en soms een gebruiker of tenant aan de toegang.

API-sleutels zijn eenvoudiger, maar vaak grover. OAuth is beter wanneer rechten per gebruiker, organisatie of scope verschillen.

Waar moet je op letten bij OAuth?

Scopes zijn je veiligheidsgrens
Vraag niet "alles lezen en schrijven" als je alleen orders moet ophalen.

Tokens zijn geheimen
Een access token kan misbruikt worden zolang het geldig is. Log het niet en bewaar het veilig.

Consent moet begrijpelijk zijn
Gebruikers en admins moeten kunnen zien welke rechten een app vraagt en waarom.

FAQ over OAuth

1. Is OAuth hetzelfde als inloggen?
Niet precies. OAuth gaat over toegang geven. Voor identiteit wordt vaak OpenID Connect bovenop OAuth gebruikt.

2. Is OAuth altijd veiliger dan een API-sleutel?
Niet automatisch. Slechte scopes, gelekte tokens of zwakke app-registraties blijven risico's.

Laatst Bijgewerkt: July 8, 2026 Terug naar Woordenboek
Trefwoorden
oauth access token api api gateway custom connector security secret management connector automatisering