Versions Compared

Old Version 21

changes.mady.by.user Ron van Holland (Unlicensed)

Saved on

compared with

New Version Current

changes.mady.by.user Ron van Holland (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Waarom is deze RFC nodig?

Vanwege een fout in de specificatie van de foutafhandeling op het token interface. Bij uitzondering 2 wordt een foutmelding vereist (access denied) die bij het authorization interface hoort, niet bij het token interface. Het token interface kent in de OAuth-specificatie echter geen toepasselijke standaard foutmelding.

Oplossingsrichting

De reden voor deze foutmelding is dat de Authorization Server er ook op het token interface achter kan komen dat niet aan de beschikbaarheids- of ontvankelijkheidsvoorwaarde wordt voldaan. Er gelden een vroegste en laatste moment waarop er moet worden ingestaan voor deze voorwaarde. Liefst gebeurt dat zo vroeg mogelijk, op het authorization interface. Maar sommige leveranciers kunnen dat pas op het resource interface implementeren (in de Resource Server).

Tussen het authorization interface en het resource interface ligt echter het token interface dat, hoewel het voor niemand een logische plek voor implementatie van de voorwaarden is, nu wel een toegestane plek is. Niet voor niets kent de OAuth-spec geen toepasselijke foutmelding. Toegangskwesties worden geregeld op het authorization interface; het token interface is er slechts om op de backchannel de token-uitgifte af te ronden.

De oplossing is daarmee om het instaan voor deze voorwaarden alleen toe te staan op:
- het authorization interface en het resource interface, voor UC(I) Verzamelen
- het authorization interface, voor UC(I) Delen

Aanpassing van

/wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136155521, /wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136159141: in de plaat en de toelichting het token interface uitsluiten . 
/wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136153111/wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136156187: in de plaat en de toelichting het token interface uitsluiten
/wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136153068: aanpassen
/wiki/spaces/MedMijAfsprakenStelselOntwikkeling120/pages/136158502: uitzondering 2 afvoeren

Impact op rollen

Authorization Server: OAuth-compliant maken van het token interface. De scheiding tussen Regie en Uitwisseling wordt scherper, vooral bij UC(I) Delen.

Impact op beheer

Geen

Impact op RnA

Nee, nu niet voorzien

Impact op Acceptatie

Ja

Gerelateerd aan (Jira issues)

AF-1131

EigenaarPaul Oude LuttighuisRon van Holland (Unlicensed) Former user (Deleted)
Implementatietermijn

1.3.0 (okt 2020)

Motivatie verkorte RFC procedure (patch)

Indien er een release 1.2.1 komt, dan wel direct meenemen.

...

NummerImplementeert uitzonderingUitzonderingActieMeldingVervolg
Token interface 1

UC Verzamelen 6

UC Delen 6

UC Abonneren 6

Authorization Server moet vanwege één van de in de OAuth 2.0-specificatie, par. 5.2, genoemde redenen de token request weigeren.Authorization Server informeert PGO Server over deze uitzondering. PGO Server informeert daarop Zorggebruiker hierover.met de conform OAuth 2.0-specificatie, par. 5.2, toepasselijke error codeAllen stoppen de flow van de UCI Verzamelen/UCI Delen onmiddellijk na geïnformeerd te zijn over de uitzondering.







Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

...

Geen.










Bijlagen

Attachments