EPS - Eisen (en aanbevelingen) Uitwisseling publieke sleutels

#	Eis	FHIR service	Bron applicatie
001	Elke applicatie of systeem dat gebruik maakt van HTI, SMART on FHIR app launch, SMART on FHIR backend services en/of token introspectie MOET zijn publieke sleutel bekend maken. Dit gebeurt in domeinbeheer door middel van het configureren van een JWKS URL. Op de referentie implementatie is het ook toegestaan om de publieke sleutel te configureren.	x	x
002	Indien een JWKS endpoint wordt gebruikt, dient deze gebruik te maken van https.	x	x
003	De Key ID (kid) van het ondertekende JWK moet overeenkomen met een Key ID ( `kid` ) uit het JWKS document. Het header veld `kid` is verplicht in de JWT tokens.	x	x
004	De URL voor het publiceren van het JWKS document staat vrij en kan per applicatie-instantie worden geconfigureerd in domeinbeheer.		x
005	Het aangeboden document moet het formaat JSON Web Keys hebben, en application/json encoded zijn.	x	x
006	De autorisatie service MOET alle publieke sleutels die onderdeel zijn van de sleutelparen die gebruikt worden voor ondertekening via de JWKS URL beschikbaar maken.	x
007	Keys die niet langer gebruikt worden dienen niet langer via JWKS als publieke sleutel te worden aangeboden. De TTL en de `Cache-Control` van de uitgegeven tokens dient wel in acht genomen te worden.	x	x
008	De aangeboden keys mogen enkel publieke sleutels zijn, de JWK specificatie kent ook de representatie van private sleutels. Deze mogen expliciet niet via het JWKS endpoint gedeeld worden.	x	x

Koppeltaal stelselarchitectuur