Projecten Aanpak Over Frits Blog Tech-woordenboek WhatsApp Contact
Lexicon · Security

OAuth

Definitie

OAuth (uitgesproken als “oh-auth”) is een open standaardprotocol waarmee een applicatie toegang krijgt tot data of functies in een andere applicatie, zonder dat de gebruiker zijn wachtwoord hoeft te delen. In plaats daarvan geeft de gebruiker expliciet toestemming voor specifieke toegang via een gestandaardiseerde flow.

OAuth wordt veel gebruikt voor “inloggen met Google”, “inloggen met Microsoft” of “verbind met LinkedIn”-knoppen. Het is ook de basis van veel API-koppelingen tussen zakelijke applicaties. De huidige versie is OAuth 2.0. Vaak gecombineerd met OpenID Connect voor identiteitsinformatie.

Waarom het ertoe doet voor MKB

Voor MKB zit OAuth onder de motorkap van bijna elke moderne koppeling. Bij elke “verbind dit met dat” knop in een SaaS-tool wordt OAuth gebruikt. Begrijpen hoe het werkt helpt bij het inschatten van risico’s: wat geef je een externe app eigenlijk toestemming voor?

Voor jouw bedrijf is de praktische les: OAuth-koppelingen zijn doorgaans veiliger dan wachtwoorden delen, maar lees wel wat een applicatie aan rechten vraagt. Een marketing-tool die “alle e-mail kan lezen en verzenden” vraagt is iets anders dan een tool die alleen jouw kalender mag bekijken.

Concreet voorbeeld

Een marketingbureau met 12 medewerkers wilde een nieuwe planningstool koppelen aan de centrale agenda. In het oude systeem zou de medewerker zijn Microsoft-wachtwoord aan de tool moeten geven, wat onveilig en in strijd met bedrijfsbeleid was.

Met OAuth-koppeling klikte de medewerker op “verbind met Microsoft”, werd doorgestuurd naar een Microsoft-loginpagina (niet de planningstool), gaf daar toestemming voor specifieke rechten (lezen en schrijven van kalenderafspraken), waarna de planningstool een token kreeg met alleen die rechten. Het wachtwoord werd nooit gedeeld. Bij behoefte kon de toegang centraal worden ingetrokken zonder het Microsoft-wachtwoord te wijzigen.

Misverstanden en valkuilen

  • “OAuth is hetzelfde als inloggen.” Net niet. OAuth gaat over autorisatie (wat mag je doen). Voor authenticatie (wie ben je) wordt vaak OAuth gecombineerd met OpenID Connect.
  • “Met OAuth ben je veilig.” Veiliger dan wachtwoorden delen, maar niet zomaar 100% veilig. Phishing-aanvallen kunnen OAuth-flows misbruiken. Let altijd op de URL waar je toestemming geeft.
  • “Eens gegeven toestemming, voor altijd.” Onjuist. Toestemmingen kun je intrekken via je account-instellingen bij Google, Microsoft of waar dan ook. Regelmatig opschonen is verstandig.
  • “OAuth-rechten zijn duidelijk.” Soms vragen apps brede rechten die niet helemaal duidelijk zijn. “Toegang tot alle Drive-bestanden” klinkt al snel onschuldig, maar betekent dat een app alles kan lezen en wijzigen.

Wanneer moet je hier wakker liggen, wanneer niet

Wakker liggen: als medewerkers ad hoc OAuth-toestemmingen geven aan onbekende of obscure apps. Of als bij vertrek van een medewerker oude OAuth-toestemmingen niet worden ingetrokken. Beide kunnen leiden tot ongewenste toegang.

Niet wakker liggen: als koppelingen via OAuth lopen tussen reputabele bedrijfsapplicaties en je rechten regelmatig nakijkt. Dat is de moderne, veilige manier van apps koppelen.

Gerelateerde termen

  • SSO: maakt vaak gebruik van OAuth onder de motorkap.
  • 2FA: aanvullende beveiliging op OAuth-accounts.
  • API: OAuth beschermt veel API-koppelingen.
  • SaaS: OAuth is de standaard voor koppelingen tussen SaaS-tools.
Filed under Security
Leestijd 2 min
Gepubliceerd 21 mei 2026

Zie ook

2FA
2FA staat voor Two-Factor Authentication: inloggen met twee verschillende bewijsstukken (meestal wachtwoord plus code via app of sms). Significant veiliger...
AVG
AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywetgeving die regelt hoe organisaties met persoonsgegevens moeten omgaan. Voor MKB betekent het:...
Encryption
Encryption (versleuteling) zet data om in een onleesbare vorm die alleen met de juiste sleutel terug te lezen is. Beschermt...
NIS2
NIS2 is Europese richtlijn voor cyberveiligheid die strengere eisen stelt aan kritieke en belangrijke organisaties. Voor MKB in specifieke sectoren...
Penetration testing
Een penetration test (pentest) is een georganiseerde aanval op je eigen systemen door beveiligingsspecialisten, om kwetsbaarheden te vinden voordat criminelen...
SSL/TLS
SSL/TLS is de technologie achter het hangslot-icoon in je browser. Het zorgt voor versleutelde verbinding tussen jouw computer en een...

Verder lezen

Freelancer, bureau of fractional partner: wie moet je software bouwen?
Voor MKB-projecten is er een derde optie: vergelijk freelancer, bureau en fractional partner op kosten, risico en werkwijze.
Het one-person tech team: waarom je geen team van 5 nodig hebt
Je zoekt een developer voor je nieuwe platform. Het bureau komt met een offerte: projectmanager, UX-designer, twee developers, een tester. Vijf mensen, zes maanden,...
Technische schuld: wat het je echt kost en hoe je het oplost
Je herkent het waarschijnlijk. Elke aanpassing aan je software duurt langer dan verwacht. Je IT-kosten stijgen jaar na jaar, maar je systemen voelen niet...