comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

REST API – Funktionsstörung beim Abruf der OAuth ClientCredentials nach mobileTAN-Freigabe

11 ANTWORTEN

MikeMike
Autor ★
8 Beiträge

am ‎22.06.2026 22:06

am ‎22.06.2026 22:06

Update, ich habe inzwischen PhotoTAN aktiviert

und bin auch mit PhotoTAN in das gleiche Problem gelaufen.

 

Es hat also schon mal nichts mit dem SMS Interface zu tun.

0 Danke

MikeMike
Autor ★
8 Beiträge

am ‎24.06.2026 11:23

am ‎24.06.2026 11:23

Update: OAuth ClientCredentials werden nach TAN-Freigabe nicht angezeigt (Freigabe sofort "abgelaufen") - jetzt eingegrenzt auf den Anzeige-Schritt


Kurzes Update mit neuen, eingegrenzten Beobachtungen vom 24.06.2026.

Bisheriger Stand (zur Erinnerung): Beim Abruf der OAuth ClientCredentials ueber das Kundenportal endet der Vorgang nach der TAN-Freigabe in einer generischen "Funktionsstoerung". Das tritt reproduzierbar auf, unabhaengig von Betriebssystem (Linux, macOS), Browser (Chrome, Firefox, Safari) und TAN-Verfahren (mobileTAN per SMS, photoTAN).


Neu am 24.06.2026, und das grenzt den Fehler deutlich ein:

  1. Ich habe die vorhandenen ClientCredentials zuerst geloescht (Bestaetigung: "Sie haben Ihre OAuth ClientCredentials erfolgreich geloescht.") und danach eine frische Registrierung durchlaufen (Nutzungsbedingungen akzeptieren, Weiter, photoTAN-Freigabe), also nicht den "zuruecksetzen"-Weg.

  2. Nach "Freigeben" (photoTAN-Verwendungszweck in der App: "Abruf der OAuth Credentials") erschienen zwei widerspruechliche Status-Zeilen. Auf dem Bildschirm steht oben die gruene, darunter die rote Zeile, woertlich:

    • gruen (oben): "Die TAN ist bestaetigt, weiter zum naechsten Schritt."

    • rot (darunter): "Die TAN-Freigabe ist abgelaufen."

    Das System zeigt also gleichzeitig "bestaetigt" und "abgelaufen". Das Erscheinungs-Timing der beiden Zeilen variierte zwischen den Versuchen. client_id und client_secret wurden nie angezeigt.

  3. Technisch beobachtet: Der Execution-Token bleibt durchgehend auf Schritt s2 und springt nie auf den Folgeschritt, der die Credentials anzeigen muesste. Beobachtete URLs (der Token "eNs2" ist sitzungsspezifisch): https://kunde.comdirect.de/itx/oauth_privatkunden?execution=eNs2 bzw. https://kunde.comdirect.de/itx/oauth/privatkundenWeb?execution=eNs2. Der "Freigeben"-Button fuehrt nicht weiter (auch nach Reload, mit weiterhin bestaetigter TAN, endet ein erneuter Klick bei "abgelaufen"). Die Browser-Konsole zeigt keinen portalseitigen Fehler. Das deutet auf ein serverseitiges Timing-/Statusproblem hin: trotz bestaetigter TAN wird der Folgeschritt als abgelaufen abgewiesen.

  4. Der Bildschirm blieb auf diesen beiden Zeilen stehen und ging nicht von selbst weiter, weder zum Secret noch zu einer Uebersicht. Erst beim manuellen erneuten Aufruf der Seite "Verwendung des comdirect REST API" (https://kunde.comdirect.de/itx/oauth/privatkundenWeb) zeigt sich, dass die Registrierung wieder vorhanden ist (es werden erneut sowohl "OAuth ClientCredentials zuruecksetzen" als auch "loeschen" angeboten). Das heisst: serverseitig wurde ein Credential-Satz erzeugt, dem Nutzer aber nie angezeigt, und der Nutzer strandet auf der Fehleranzeige.

Damit lassen sich beide Fehlerbilder auf einen Schritt zurueckfuehren: die Anzeige des Secrets nach der Freigabe. Auf dem "zuruecksetzen"-Weg aeussert sich das als "Funktionsstoerung", auf dem Registrierungs-Weg als "photoTAN akzeptiert" + "Freigabe abgelaufen" ohne Secret. Die Credential-Erzeugung selbst funktioniert, nur die Ausgabe an den Nutzer nicht.


Wichtig zum Ausschluss eines Bedienfehlers: Ich habe vorher einen kompletten Durchlauf in Firefox ohne jede Pause zwischen den Schritten gemacht, also zuegig bestaetigt, mit identischem Ergebnis (gruen akzeptiert, rot abgelaufen, kein Secret). Die Freigabe wird also auch bei sofortiger Bestaetigung als abgelaufen gemeldet. Das deutet auf ein serverseitiges Timeout- bzw. Statusproblem beim Abschluss der Freigabe hin, nicht auf eine zu langsame Bedienung.


Nebeneffekt: Jeder Versuch (zuruecksetzen oder neu registrieren) erzeugt serverseitig den Credential-Satz neu, dessen Secret aber nie angezeigt wird; ein zuvor erzeugtes Secret wird dabei ungueltig. Serverseitig besteht also eine Registrierung, aber der einzige Weg, das Secret erneut zu erhalten ("zuruecksetzen"), ist selbst defekt.

 

Konkrete Fragen:

  1. Ist dieser Defekt beim Anzeige-/Abschluss-Schritt bekannt, und gibt es einen Zeitrahmen fuer eine Korrektur?

  2. Wie komme ich an das client_secret einer bereits bestehenden Registrierung, wenn sowohl die Anzeige nach der Registrierung als auch "zuruecksetzen" fehlschlagen?

  3. Sollte ich die offenbar angelegten, aber nie angezeigten Credential-Saetze loeschen, um einen sauberen Zustand herzustellen?

Reproduktions-Matrix (kumulativ, alle scheitern am finalen Anzeige-Schritt): Betriebssystem Linux/macOS, Browser Chrome/Firefox/Safari, TAN mobileTAN/photoTAN, Pfad zuruecksetzen/loeschen+Registrierung.

 

Relevante Links: