...
Op pagina Authorization interface bij 1a toevoegen in de tabel:
state
- conform sectie 4.1.1. van RFC 6749
Hiermee geeft de OAuth Client informatie mee aan de OAuth Authorization Server, waaraan eerstgenoemde later, bij de redirect, kan afleiden bij welk verzoek de authorization code hoort. Deze informatie is verder betekenisloos voor de OAuth Authorization Server.
De state moet
- een minimale lengte hebben van 32 karakters (Voldoende lang om niet raadbaar te zijn)
- een maximale lengte hebben van 512 karakters (Praktische grens, rekening houdend met standaard libraries en maximale lengte uri's)
NB: Er is geen impact op de foutafhandeling, wanneer een state niet voldoet aan bovenstaande eisen, moet een DVZA conform Authorization interface 1b en OAuth2-specificatie de desbetreffende fout geven.
NB2: Na uitvraag van 'werkbare' lengten voor state-parameter zijn een klein aantal inzendingen binnen gekomen; op basis daarvan handhaven wij het 512 maximimum.
Optioneel: Impact op foutafhandeling (zie https://confluence.vzvz.nl/display/MMAS/Foutmeldingen+MedMij )
...