Document toolboxDocument toolbox

EPS - Eisen (en aanbevelingen) Uitwisseling publieke sleutels

#EisFHIR serviceBron applicatieDomein
001Elke applicatie of systeem dat gebruik maakt van HTI, SMART on FHIR app launch, SMART on FHIR backend services en/of token introspectie MOET zijn publieke sleutel bekend maken. Dit gebeurt in domeinbeheer door middel van het configureren van een JWKS URL. Op de referentie implementatie is het ook toegestaan om de publieke sleutel te configureren.xx
002Indien een JWKS endpoint wordt gebruikt, dient deze gebruik te maken van https.xx
003De Key ID (kid) van het ondertekende JWK moet overeenkomen met een Key ID ( kid  ) uit het JWKS document. Het header veld kid  is verplicht in de JWT tokens.xx
004De URL voor het publiceren van het JWKS document staat vrij en kan per applicatie-instantie worden geconfigureerd in domeinbeheer.
x
005Het aangeboden document moet het formaat JSON Web Keys hebben, en application/json encoded zijn.xx
006De autorisatie service MOET alle publieke sleutels die onderdeel zijn van de sleutelparen die gebruikt worden voor ondertekening via de JWKS URL beschikbaar maken.x

007Keys die niet langer gebruikt worden dienen niet langer via JWKS als publieke sleutel te worden aangeboden. De TTL en de Cache-Control van de uitgegeven tokens dient wel in acht genomen te worden.xx
008De aangeboden keys mogen enkel publieke sleutels zijn, de JWK specificatie kent ook de representatie van private sleutels. Deze mogen expliciet niet via het JWKS endpoint gedeeld worden.xx