background

Du kannst deine eigene Auth an einem Tag bauen. Das ist die Falle.

Dutzende B2B-Teams erzählten uns die gleiche Geschichte. Es beginnt als einfaches Login-Formular. Dann läuft echter Traffic darüber – und es wird langsam zur Identitäts-Infrastruktur: das Fundament, auf dem dein ganzes Produkt steht.

Starte kostenlos mit Logto
Kontaktiere unser Team
banner

Es sah nach einem Feature aus. Übrig bliebt ein komplettes Identitätsmodell.

Jede selbstgebaute Auth beginnt als ein paar Zeilen Code. Die Probleme zeigen sich nach dem Launch – wenn jede kleine Entscheidung stillschweigend zum Modell wird, auf das dein gesamtes Produkt baut.

Tag eins: Vierzig Zeilen Code

E-Mail, Passwort, hashen, speichern, beim Login vergleichen. Einfach und fertig.
Genau deshalb starten alle Teams hier und Authentifizierung sieht wie etwas aus, das du an einem Nachmittag erledigen kannst.

Tag zweihundert: Ein stummes Identitätsmodell

Wer gilt als User. Zu welcher Organisation gehört er. Welche Session ist noch vertrauenswürdig. Wie wird Zugriff wieder entzogen.
Rate Limits, MFA und dessen Wiederherstellungsprozess, Sessions, Refresh Tokens, ein Organisationsmodell, das weit mehr als ein is_admin-Boolean umfasst. Jede Antwort, die du implementierst, wird zur stillen Regel im Produkt.

Jahr fünf: Ein Fundament, das du nicht mehr anfassen kannst

Das Login-Formular auf dem Papier zu tauschen bedeutete, die Identitätsbasis im Code neu zu schreiben.
Ein 20 Jahre altes SaaS wollte auf E-Mail-als-Benutzername umstellen. Berechtigungs-Prüfungen lebten in hunderten Modulen. Niemand wollte es freigeben und das Ganze zog sich, bis es nicht mehr ging.

Selbstgebaute Auth läuft prima — bis das Business sich bewegt

Jahrelang werden Leute problemlos eingeloggt. Dann ändert sich einmal das Business – und aus “ausreichend” wird über Nacht “im Weg”. Diese drei Themen trifft fast jedes skalierende Produkt.

figure

Enterprise-Kunden wollen plötzlich SSO

Der erste große Deal steht an und der Einkauf will SSO über sein eigenes Entra oder Google Workspace. Dann SAML und OIDC, weil der nächste Kunde wieder etwas anderes nutzt. Jede Kundenidentität ist anders, und fast nichts davon kann wiederverwendet werden.

  • Unterschiedliche Protokolle, Feldzuordnungen und Zertifikatrotation pro Kunde
  • SSO wird nicht einmal gebaut. Für jedes neue Enterprise baust du es neu.
  • Es wird langsam zu Handarbeit, die nur noch ein Engineer komplett versteht
Mehr erfahren
figure

Identität war verteilt, jetzt muss sie vereinheitlicht werden

Getrennt nach Organisation, getrennt nach Produkt – oft geerbt durch Übernahmen. „Identität vereinheitlichen“ klingt wie ein Feature – im Code heißt das: Definiere neu, was ein User und eine Organisation eigentlich sind.

  • Kann eine E-Mail mehreren Organisationen gehören? Wie migrierst du alte Nutzernamen?
  • Neun übernommene Produkte bedeuten neun parallel laufende Auth-Stacks
  • Entferne einen Mitarbeiter aus allen Systemen auf einmal und prüfe es an einer Stelle nach
Mehr erfahren
figure

KI-Agenten und CLIs handeln im Namen eines Users

Nicht nur Menschen im Browser. Agenten, MCP-Server und Kommandozeilen handeln für irgendwelche User. Und deine Auth kann nur Leute auf Seiten einloggen.

  • Für wen wird das Token ausgestellt, mit welchem Scope und für welches Publikum?
  • Gewähre nur einem Tool oder für einen bestimmten Datenbereich Zugriff – und entziehe ihn später wieder
  • MCP- und CLI-Zugriffe laufen über OAuth, nicht über ein Login-Formular
Mehr erfahren
background

Die echten Kosten entstehen nicht beim Bau. Sondern beim jahrelangen Mitziehen.

Die erste Version ist günstig: Ein paar Entwickler, ein paar Wochen, und fertig. Danach fütterst du sie jedes Jahr mit Entwicklerstunden, die eigentlich ins Kernprodukt gehörten.

Die Rechnung hat sich geändert, wie du bezahlst

Du bekommst nie eine Rechnung mit dem Betreff „Authentifizierung“.
Du bezahlst in Personenmonaten, verpassten Deadlines, Sicherheits-Altlasten und Nacharbeit. Eine Mitglieder-Organisation baute ein eigenes System um Lizenzkosten zu sparen – nach fünf Jahren hatten die Wartungskosten das längst übertroffen.

Das Wissen ruht still bei ein, zwei Leuten

Der kritische Kontext steht im Kopf von jemandem, nicht in den Dokumenten.
Welcher Kunde wie konfiguriert ist, warum eine alte Migration wie ablief – wenn diese Person ausfällt, stockt die Enterprise-Pipeline. Wenn sie geht, geht das Wissen mit.

Wo willst du deine Engineers haben?

Kein Kunde zahlt dir einen Cent mehr, weil du deinen eigenen OAuth-Server gebaut hast.
Auth muss zuverlässig sein. Aber „zuverlässig“ ist nicht dasselbe wie „von dir gebaut“. Für die meisten Produkte ist es ein zentrales Abhängigkeitsmodul, kein Kerndifferenzierer. Das sind zwei völlig verschiedene Dinge.

Wenn du es nicht baust – wie wählst du dann sinnvoll aus?

Die ausgereiften Auth-Systeme bieten die Features längst: SSO, MFA, Organisationen, einheitlicher Login, Agentenzugriff. Der wirkliche Unterschied ist: Kannst du später problemlos wechseln? Baue nicht ein paar tausend Zeilen nur, um dann bei einem fremden System festzuhängen.

Standardprotokolle statt selbstgebastelter Stack

OIDC, OAuth und mit RS256 signierte JWTs, die du bereits kennst. Lies Claims direkt aus einem normalen Token, ohne eine proprietäre API lernen zu müssen.

Eine Tür, durch die du wirklich gehen kannst

Ist es Open Source und selbst-hostbar, kannst du jederzeit gehen. Tausch dein eigenes System nicht gegen eines aus, aus dem du auch nicht wieder herauskommst.

Abrechnung unabhängig von deiner User-Table

Nach registrierten Usern oder monatlich Aktiven abzurechnen bedeutet mitwachsendes Zahlenwerk – auf Dauer eine „Wachstumssteuer“, die Teams oft zum Selbstbau verleitet.

Deine Daten sind niemals fest eingeschlossen

Exporte deine Userdaten wann immer du willst. Und indem du diese sensiblen Daten an Spezialisten gibst, ersparst du dir das Risiko, einen Haufen PII zu schützen, für den du nie die richtige Partei warst.

Auth ist wahrscheinlich nicht dein Kerngeschäft. Behandle es auch so.

Logto ist Open Source, selbst-hostbar und als Managed Cloud nutzbar. Sign-In, MFA, SSO und RBAC funktionieren sofort mit Standard-OIDC. Die Abrechnung folgt den Tokens – und wenn du wechseln willst, steht die Tür offen.

Kostenlos starten
Kontakt

Häufig gestellte Fragen

Solltest du nie ein eigenes Authentifizierungssystem bauen?

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Warum macht Enterprise SSO die selbstgebaute Auth so kompliziert?

Wir nutzen unsere eigene Auth jahrelang. Können wir trotzdem migrieren?

Warum sorgen KI-Agenten und MCP plötzlich für neue Auth-Herausforderungen?