OAuth 2.1 ist ein Protokoll für delegierte Autorisierung: Es ermöglicht einer Anwendung, im Namen eines Nutzers auf Ressourcen zuzugreifen, die von einem anderen Dienst gehostet werden, ohne dass dabei jemals das Passwort dieses Nutzers übermittelt wird. Stattdessen stellt der Ressourcendienst ein Zugriffstoken (access token) mit begrenzter Gültigkeitsdauer und eingeschränktem Geltungsbereich aus, das die Anwendung bei jeder Anfrage vorlegt.
OAuth 2.1 ist eine Konsolidierung von OAuth 2.0: Es bündelt die seit 2012 gesammelten bewährten Sicherheitspraktiken und macht einige davon verbindlich. Dazu gehören die durchgängige Verwendung von PKCE (Proof Key for Code Exchange) beim Authorization-Code-Flow, der Verzicht auf als unsicher geltende Flows (impliziter Flow und Passwort-Flow) sowie strikte Regeln zur exakten Übereinstimmung der Weiterleitungs-URLs.
Der Mechanismus beruht auf Scopes (Autorisierungsbereichen), die genau begrenzen, was das Token erlaubt, und auf Refresh-Token (refresh tokens), die den Zugriff erneuern, ohne dass sich der Nutzer erneut authentifizieren muss. Es ist der Standard, der die „Anmelden mit …“-Schaltflächen und – allgemeiner – den Zugriff von Drittanwendungen auf REST-APIs absichert.
eyeot setzt OAuth 2.1 mit PKCE ein, um Agenten und Anwendungen zu authentifizieren, die mit seiner KI-Schnittstelle (MCP) interagieren – ergänzend zur Identitätsverwaltung über SCIM. Dieser Ansatz stellt sicher, dass ein delegierter Zugriff widerrufbar bleibt und auf die ausdrücklich autorisierten Vorgänge beschränkt ist.