AWS Auth Stack mit drei Schichten: Amazon Cognito als Identity Provider, Lambda@Edge zur Token-Validierung am Edge, API Gateway als Authorization Gate.

01Das Versprechen

„Ich bau mal schnell das Login."

Das ist der Satz, mit dem jedes zweite SaaS-Disaster beginnt. Authentifizierung sieht einfach aus. User hat Email und Passwort, etwas Session-Management, fertig. Drei Tage Arbeit, denkst du.

In Wahrheit hast du gerade einen der schwierigsten Bereiche der Softwareentwicklung betreten. Und es ist nicht die Kryptografie, die dich versenkt. Es sind die zehn Dinge, an die du noch nicht gedacht hast.

02Was du eigentlich brauchst

Die Liste, die drei Tage Arbeit zu drei Monaten macht.

Damit „Login” in Produktion sicher läuft, brauchst du:

  • Passwort-Hashing mit bcrypt oder Argon2, nicht mit SHA-256
  • Session-Management mit sicheren, HttpOnly-SameSite-Cookies
  • JWT-Generierung, Key-Rotation und Refresh-Token-Flow
  • Brute-Force-Schutz, Rate-Limiting und Account-Lockout
  • Passwort-Reset mit sicherem Email-Flow und Expiry
  • Email-Verifizierung beim Sign-Up
  • MFA mit TOTP, SMS und Backup-Codes
  • Passkey-Support, erwartet seit 2024
  • Social-Login über Google, Apple und andere IdPs
  • „Auf allen Geräten abmelden” als Self-Service
  • Audit-Log für Compliance und Forensik
  • FADP- und DSGVO-konforme Datenhaltung

Jeder einzelne Punkt hat eine Liste von Sicherheitslücken, die du nicht siehst, bis sie ausgenutzt werden. Jeder kostet Wochen. Das ist nicht das Produkt, das du bauen wolltest.

03Der AWS-Stack, drei Schichten

Drei Services, jeder für eine klare Aufgabe.

  • Layer 1 · Amazon CognitoIdentity Provider für Registrierung, Login, MFA, Passkeys. OAuth2 und OIDC out of the box. User Pools für die Benutzerdatenbank, Identity Pools für AWS-Credentials. Hosted UI optional, Custom UI möglich.
  • Layer 2 · Lambda@EdgeToken-Validierung bevor die Request das Backend erreicht. Cognito-JWTs werden am CloudFront-Edge geprüft, ungültige Tokens sofort abgewiesen. Die Origin sieht nie eine unauthentifizierte Request.
  • Layer 3 · API GatewayAutorisierung auf API-Ebene. Der Cognito Authorizer ist nativ integriert. Rate-Limiting, Throttling, WAF-Integration kommen gratis dazu.

Defense in Depth, nicht als Buzzword, sondern als saubere Arbeitsteilung: Identity bei Cognito, Network-Level-Blocking am Edge, API-Level-Autorisierung im Gateway.

04In Produktion bei SCMC

Swiss Cybersecurity-Plattform. FADP-konform. Seit November 2025 live.

Ich habe diesen Stack für SCMC.ch gebaut. FADP-Compliance war Must-have, nicht Nice-to-have. Nach über fünf Monaten in Produktion:

  • Keine Auth-Session-Bugs in Produktion
  • Passkeys seit Tag 1
  • Audit-Log kommt aus CloudTrail und Cognito-Events, nicht aus eigenem Code
  • Feature-Entwicklung statt Security-Firefighting

05Die Regel

Baue nie, was du kaufen kannst. Besonders nicht bei Security.

Die einzige legitime Ausnahme: du bist selbst Identity-Provider-Hersteller. Keycloak, Auth0, Okta, Clerk, Supabase Auth, Firebase Auth sind alle grosse Investitionen über viele Jahre. Das baut man nicht nebenbei.

Auf AWS und keine Identity-Firma? Die Antwort ist Cognito. Self-Hosting oder On-Prem nötig? Dann Keycloak, OAuth2, SAML, Passkeys, LDAP, alles RFC-konform. In beiden Fällen: nicht selber bauen.

Deine Wochen gehören in das Produkt, das niemand anders bauen kann.

Dein Vorsprung liegt im Produkt, nicht im Login.