BuildingAktualisiert

Authentication / Anmeldung

Authentication ist der Prozess, bei dem deine App prüft, wer ein Nutzer ist – per Login, Magic-Link, OAuth oder Passkey. Grundlage jeder Web-App mit Accounts.

Authentication (oft kurz Auth) ist der Prozess, mit dem eine App feststellt: "Wer bist du gerade?" Bei jeder App, in die du dich einloggst, läuft Auth ab. Du gibst Email und Passwort ein, die App vergleicht den Hash mit ihrer Datenbank und gibt dir – wenn alles passt – einen Session-Token, mit dem du als angemeldet giltst.

Davon zu unterscheiden ist Authorization: "Was darfst du tun?" Erst Auth (wer bist du), dann Authorization (welche Rechte hast du). Beides hängt zusammen, ist aber technisch getrennt.

Wie funktioniert Authentication?

Moderne Auth-Flows sehen meist so aus:

  1. User gibt Email + Passwort ein (oder klickt "Login mit Google")
  2. Frontend schickt das an den Auth-Server
  3. Server prüft Credentials, erstellt einen JWT (JSON Web Token) oder eine Session
  4. Token wird im Browser gespeichert (Cookie oder LocalStorage)
  5. Bei jedem API-Request schickt der Browser den Token mit
  6. Backend prüft den Token vor jeder Aktion

Verbreitete Auth-Methoden:

  • Email + Passwort – der Klassiker
  • Magic Link – Email-Link statt Passwort, verbreitet bei modernen Apps
  • OAuth / Social Login – "Mit Google/Apple/GitHub einloggen"
  • Passkey / WebAuthn – die neue Standard-Methode ohne Passwort, biometrisch
  • 2FA / MFA – zusätzliche Sicherheit per SMS, Authenticator-App oder Hardware-Key

Wofür brauchst du Authentication?

  • User-spezifische Inhalte – Notizen, Profile, Bestellungen
  • Bezahl-Inhalte – nur Abonnenten sehen Premium-Features
  • Multi-User-Apps – jeder sieht nur seine eigenen Daten
  • Admin-Bereiche – Backend nur für berechtigte Personen
  • API-Schutz – nur authentifizierte Apps oder User dürfen aufrufen
  • Compliance – DSGVO verlangt sicheren Zugriff auf personenbezogene Daten

Authentication und VibeCoding

Auth selbst zu bauen ist gefährlich. Passwort-Hashing, Token-Rotation, CSRF-Schutz, Brute-Force-Limits, Account-Recovery – an jeder Stelle kann etwas schiefgehen, mit echten Sicherheitsfolgen. Die einzige sinnvolle Empfehlung 2026: Nutze einen Auth-Service.

Die Top-Optionen:

  • Supabase Auth – integriert mit Supabase-Datenbank, kostenlos im Free-Tier
  • Clerk – beste UX, viele fertige UI-Komponenten, kostet ab Größe
  • Auth.js (ehemals NextAuth) – Open Source, in deinem Next.js-Backend
  • Firebase Auth – Google, gut für Mobile

Mit Claude Code generierst du Login-Komponenten, geschützte Routen und Session-Handling in wenigen Prompts – auf Basis dieser Services. Was du selbst nie programmieren solltest: deine eigene Passwort-Speicherung.

Sicherheits-Regeln:

  • Niemals Passwörter im Klartext speichern (immer gehashed mit bcrypt/argon2)
  • HTTPS überall, kein Login über HTTP
  • Tokens regelmäßig rotieren
  • Sessions invalidieren beim Logout

Empfehlung

  • Beste Integration mit Postgres und Realtime: Supabase Auth
  • Beste UX out of the box: Clerk
  • Maximum Open Source und kostenlos: Auth.js mit eigenem Backend
  • B2B-SaaS mit SSO und SCIM: WorkOS

Häufige Fragen

Sollte ich Auth selbst bauen oder einen Service nutzen?

Niemals selbst bauen, außer du bist Sicherheitsexperte. Die Risiken sind zu hoch, der Aufwand zu groß. Supabase, Clerk oder Auth.js sind besser, schneller und sicherer.

Was ist der Unterschied zwischen Magic Link und Passwort-Login?

Beim Magic Link gibst du nur deine Email ein und bekommst einen Login-Link zugeschickt – kein Passwort nötig. Sicherer (keine Passwörter zu klauen) und besser für Conversion. Standard bei modernen Apps wie Notion oder Slack.

Wann brauche ich 2FA?

Sobald deine App sensible Daten oder Geld verwaltet (B2B-Tools, Banking, Crypto). Für eine reine Notiz-App ist 2FA optional, aber gerne als Möglichkeit anbieten. Passkeys werden 2026 zunehmend zum Standard und ersetzen Passwort + 2FA.

Building

Supabase

Supabase ist eine Open-Source-Backend-Plattform mit Postgres-Datenbank, Auth, Storage und Realtime – die Firebase-Alternative für 2026.

Building

Backend

Das Backend ist der unsichtbare Teil einer App: Server, Datenbank, Logik. Hier werden Daten verarbeitet, gespeichert und abgesichert.

Building

API – Application Programming Interface

Eine API ist eine Schnittstelle, über die Programme miteinander reden. Dein Frontend ruft die API deines Backends, deine App ruft die OpenAI-API.

Building

Web App

Eine Web App ist eine Anwendung, die im Browser läuft – ohne Installation, oft mit Login und persistenten Daten. Beispiele: Gmail, Notion, Figma.

Building

Datenbank

Eine Datenbank speichert die Informationen deiner App strukturiert ab – User, Bestellungen, Notizen. Postgres ist 2026 der Quasi-Standard.

VibeCoding Masterclass

Alles davon lernst du in der VibeCoding Masterclass.

Statt nur nachzuschlagen — anwenden. Bau Schritt für Schritt deine eigenen KI-Produkte, geführt von echten Projekten und einer aktiven Community.

Auf die Warteliste
Zurück zum Lexikon