Document toolboxDocument toolbox

MMOS-95 Inconsistentie Scope Autorisatie verzamelen

Owned by Yvonne Pijnacker
Last updated: Sept 13, 2023
2 min read

In het AS zijn een aantal inconsistenties geslopen betreffende de scope van de tokens.

Core.authorisatie.203 en 206

Core.authorisatie.207 bevat een tikfout

https://afsprakenstelsel.medmij.nl/display/MMOptioneel/Verantwoordelijkheden%2C+Core

Oude tekst

Nieuwe tekst

Hoewel het technisch mogelijk is om meerdere scopes mee te geven, maakt de OAuth Client voor de functies Verzamelen en delen gebruik van één scope tegelijk. Hierin staat de MedMij-naam van de Aanbieder, waarbij autorisatie wordt gevraagd, genoemd. De OAuth Authorization Server genereert authorization-codes en access-tokens refresh-tokens met een enkelvoudige scope die gelijk is aan de scope in het verzoek van de OAuth client. Voor de functie delen geldt dat dee OAuth Client alleen gebruikmaakt van één scope tegelijk. De OAuth Authorization Server genereert authorization-codes en access-tokens met een enkelvoudige scope die geheel vervat moet zijn in de Gegevensdienstwaarom de OAuth Client heeft gevraagd.'.

 

 

de scope waarvoor de authorization-code, het access-token of het refresh-token is uitgegeven, in de vorm van een kopie van de scope-parameter van de authorization request in antwoord waarop de authorization-code, het access-token of het refresh-token is uitgegeven

 

 

Geen andere informatie dan de in core.autorisatie.206 genoemde mag voorkomen in de authorization-code, het access-token of het refresh-token, ook niet versleuteld. Er mogen t.a.v. informatie-inhoud van het token verschillende keuzes gemaakt worden tussen authorization-code, access-token of het refresh-token. De OAuth Client mag de inhoud van het token niet interpreteren.

 

 

core.tknint.205 bevat onterecht de eis dat dat het gebruikt van een redirect_uri altijd verplicht is, maar dit is volgens 6.  Refreshing an Access Token geen parameter bij de inwisseling van een refresh-token.https://afsprakenstelsel.medmij.nl/display/MMOptioneel/Token+interface

 

Oude tekst

 

Nieuwe tekst

De OAuth Authorization Server draagt geen access token over als in de token request geen redirect_uri is opgenomen, en evenmin als er in de token request wel een redirect_uri is opgenomen, maar deze niet identiek is aan de redirect_uri die de OAuth Authorization Server, bij uitreiking, verbonden heeft aan de authorization code die in de token request wordt aangeboden. Bij het inwisselen van een refresh token voor een access token wordt de parameter redirect_uri niet gebruikt.