...
Op pagina Token interface aanpassen:
client_id
niet gebruiktde hostname van de Node van de OAuth Client die de authorization request deed die de nu aangeboden authorization code opleverde
Zie de toelichting bij verantwoordelijkheid 1b.De OAuth 2.0-specificatie stelt deze parameter niet verplicht indien de OAuth Client zich authenticeert, hetgeen in het MedMij Afsprakenstelsel gebeurt door middel van mutual TLS. En de noodzaak van het gebruik ervan wordt beperkt door verantwoordelijkheid 4 op deze pagina, die borgt dat het access token alleen wordt verstrekt aan de OAuth Client aan wie de OAuth Resource Owner toestemming heeft verleend. In hoofdstuk 2 van een Internet-Draft ter zake wordt echter gesteld dat de
client_idtoch gebruikt moet worden ingeval mutual TLS wordt gebruikt. Dat laatste is het geval in het MedMij Afsprakenstelsel (zie Netwerk-laag).
1b. Hoewel de Client geenclient_idopneemt in de access token request, accepteert de Authorization Server access token requests zonder én metclient_id. In dat tweede geval controleert de Authorization Server bovendien of declient_idovereenkomt met declient_iddie hij heeft ontvangen in de authorization request op basis waarvan hij de authorization code heeft uitgegeven die in deze access token request wordt aangeboden. Als deze controle faalt, behandelt de Authorization Server dit conform uitzondering 'Token interface 1' uit verantwoordelijkheid 6 en wel met de error responseinvalid_client.
Client_id in access token request
De OAuth 2.0-specificatie stelt declient_idniet verplicht in de access token request indien de OAuth Client zich authenticeert, hetgeen in het MedMij Afsprakenstelsel inderdaad gebeurt door middel van mutual TLS. De noodzaak van het gebruik van deze parameter wordt bovendien beperkt door verantwoordelijkheid 4 op deze pagina. In hoofdstuk 2 van een Internet-Draft ter zake wordt niettemin gesteld dat declient_idgebruikt moet worden wanneer mutual TLS wordt gebruikt. Dat laatste is het geval in het MedMij Afsprakenstelsel (zie Netwerk-laag).
Daarom bereidt het MedMij Afsprakenstelsel zich voor op het verplicht stellen van declient_id. In deze release 1.1.2 neemt de Client nog geenclient_idop in het access token request, maar wordt de Authorization Server al wel geacht access token requests te accepteren die eenclient_idbevatten en daar dan ook op te controleren. In een volgende release wordt beoogd de parameter verplicht te gaan stellen.
Op pagina Token interface aanpassen:
Bij punt .6 huidige tabel vervangen door onderstaande:
Nummer Implementeert uitzondering Uitzondering Actie Melding Vervolg Token interface 1 UC Verzamelen 6
UC Delen 6
Authorization Server moet vanwege één van de in de OAuth 2.0-specificatie, par. 5.2, genoemde redenen de token request weigeren. Authorization Server informeert PGO Server over deze uitzondering. PGO Server informeert daarop Zorggebruiker hierover. met de conform OAuth 2.0-specificatie, par. 5.2, toepasselijke error code Allen stoppen de flow van de UCI Verzamelen/UCI Delen onmiddellijk na geïnformeerd te zijn over de uitzondering. Token interface 2 UC Verzamelen 3
UC Delen 3
Authorization Server stelt tijdens de afhandeling van de token request vast dat:
- in geval van UCI Verzamelen: van Persoon bij Zorgaanbieder geen gezondheidsinformatie voor die Gegevensdienst beschikbaar is.
- in geval van UCI Delen: Zorgaanbieder niet ontvankelijk is voor die Gegevensdienst van Persoon.
Zie de toelichting op Beschikbaarheids- en ontvankelijkheidsvoorwaarde.
Authorization Server informeert PGO Server over deze uitzondering. PGO Server informeert Zorggebruiker dat diens verzoek geen voortgang kan vinden, maar laat de oorzaak daarvan helemaal in het midden. conform OAuth 2.0-specificatie, par. 4.1.2.1, error code access denied, met in de error description "Access denied."
Risico's
Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.
...