Implementierung des OAuth-Callback-Flows mit optionalem Redirect & State-Handling

[RalfKit]

Der OAuth-Callback-Flow soll implementiert werden, um nach erfolgreicher Anmeldung (inkl. optionaler 2FA) einen sicheren Redirect zu einer erlaubten redirect_uri durchzuführen.
Der state-Parameter wird genutzt, um CSRF-Angriffe zu verhindern. Die Anwendung muss vorher anhand der client_id validiert werden.

Anforderungen

• Endpunkt für den OAuth-Callback erstellen.
• client_id validieren: Existiert sie und ist die Anwendung aktiv?
• redirect_uri prüfen: Muss in der Liste erlaubter Redirects der Anwendung stehen.
• state-Parameter generieren, speichern und im Callback validieren.
• Optionalen Redirect nach 2FA-Überprüfung ausführen, danach aus der Session löschen.
• Fallback auf Standard-Redirect der Anwendung, falls kein oder ein ungültiger Redirect übergeben wird.
• Token-Tausch-Logik implementieren (Auth-Code gegen Access-/Refresh-Token).

Sicherheitsaspekte

• CSRF-Schutz: durch state-Parameter.
• Open Redirect-Schutz: Nur registrierte und erlaubte Redirect-URLs.
• Anwendungsvalidierung: Nur Anwendungen mit gültiger client_id und client_secret dürfen den Flow starten.
• Keine versehentlichen Redirects: Redirect wird nach Verwendung aus der Session entfernt.