Document toolboxDocument toolbox

(v0.2) MMOS-258, SR-Client_ID verplichten bij gebruik refesh_token

Omschrijving Changelog, met daarin:

  • Titel Jira ticket

  • Naam te wijzigen pagina

  • Korte omschrijving v.d. aanpassing in voltooid verleden tijd.

Het attribuut client_id verplichten bij het gebruik van refresh_tokens.

Gewijzigde pagina: token interface


De token interface beschrijft de attributen die meegegeven moeten worden bij het gebruik van een Authorization-code of refresh_token. Bij het gebruik van een refresh_token is toegevoegd dat de client_id ook een verplicht attribuut is, zoals staat beschreven in hoofdstuk 2 van RFC8705 . Dit was al verplicht vanuit deze specificaties, maar staat nu ook in het afsprakenstelsel.

Impact op:

DVP
DVA
Geen van beiden (Dit was al verplicht vanuit RFC8705, dit is een verduidelijking in het afsprakenstelsel).

Te informeren Stakeholders

Acceptatie
R&A beheer
Regie
CCDA
Security
Relatiebeheer
Communicatie
MM Loket
Stichting MM

Moeten afbeeldingen/mockups aangepast worden?

Ja
Nee

Aan te passen versies afsprakenstelsel

2.X.Y (waarschijnlijk een aanpassing op 2.0.4)

Classificatie

Patch
Minor
Major

Patch omdat er geen impact vanuit deze verduidelijking is. De deelnemers moesten dit al doen vanuit RFC8705. Om de onduidelijkheden te beperken zetten we dit duidelijk in het afsprakenstelsel.

Implementatie Termijn

9 januari moet deze gepubliceerd worden.

Gerelateerde tickets (o.a. nummer van deze ticket)

https://vzvz.atlassian.net/browse/MMOS-258

Status

Staat klaar voor release in afsprakenstelsel
Verwerkt in afsprakenstelsel

Uitwerking

Zet bij de locatie (en indien van toepassing bij de “In te voegen links (optioneel)”) de link naar de confluence space (bijv. MedMij Afsprakenstelsel 2), zet hier niet de link naar scroll view pagina. Is het een tabel benoem dan bij de locatie ook de rij.

Kopieer voor de oude en de nieuwe tekst ook de regel voor en na de aan te passen zin.

In de kolom Oude tekst, maak de verwijderde of gewijzigde stukken rood en streep ze door
In de kolom Nieuwe tekst, geef de nieuwe stukken hebben deze blauwige/groenige kleur.

Wil je een link toevoegen maak het woord paars in de kolom “Nieuwe tekst” en zet de link in de kolom In te voegen links (optioneel).

Door te voeren wijzigingen

Locatie

Token interface

Oude tekst

core.tknint.200

De parameters in de request naar het token endpoint worden bij het gebruik van een authorization code (token request) als volgt gevuld:

parameter

vulling

toelichting

parameter

vulling

toelichting

grant_type

conform verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208

Dit is het gevolg van verantwoordelijkheid core.autorisatie.201.

code

conform verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208

Zie de toelichting bij verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208.

client_id

de hostname van de Node van de OAuth Client die de authorization request deed die de nu aangeboden authorization code opleverde

Het gebruik van client_id is verplicht. Conform de verantwoordelijkheden als beschreven in het hoofdstuk TLS en certificaten

moet al het netwerk-verkeer beveiligd worden met TLS. In hoofdstuk 2 van RFC8705 staat beschreven aan welke eisen voldaan moet worden bij een combinatie van OAuth2 en mutual TLS.

redirect_uri

dezelfde waarde als in de voorafgaande authorization request. De redirect_uri moet urlencoded zijn (conform RFC 3986).

 NB: De redirect_uri MOET NIET dubbel encoded worden(!)

De parameters in de request naar het token endpoint worden bij het gebruik van een refresh token (refresh request) als volgt gevuld:

parameter

vulling

toelichting

parameter

vulling

toelichting

grant_type

letterlijke waarde “refresh_token”

Conform hoofdstuk 6 van RFC6749

refresh_token

het uitgegeven refresh_token

Conform hoofdstuk 6 van RFC6749

Conform de OAuth 2- specificatie moeten overige parameters die meegestuurd worden in het request genegeerd worden.

 

core.tknint.201

Nieuwe tekst

core.tknint.200

De parameters in het request naar het token endpoint worden bij het gebruik van een authorization code (token request) als volgt gevuld:

parameter

vulling

toelichting

parameter

vulling

toelichting

grant_type

conform verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208

Dit is het gevolg van verantwoordelijkheid core.autorisatie.201.

code

conform verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208

Zie de toelichting bij verantwoordelijkheid core.autorisatie.205, core.autorisatie.206, core.autorisatie.207 en core.autorisatie.208.

client_id

de hostname van de Node van de OAuth Client die de token request uitvoert. Deze moet hetzelfde zijn als de in het Authorization request gebruikte client_id.

Het gebruik van client_id is verplicht. Conform de verantwoordelijkheden als beschreven in het hoofdstuk TLS en certificaten moet al het netwerk-verkeer beveiligd worden met TLS. In hoofdstuk 2 van RFC8705 staat beschreven aan welke eisen voldaan moet worden bij een combinatie van OAuth2 en mutual TLS.

redirect_uri

dezelfde waarde als in de voorafgaande authorization request. De redirect_uri moet urlencoded zijn (conform RFC3986).

 NB: De redirect_uri MOET NIET dubbel encoded worden(!)

Conform de OAuth 2- specificatie moeten overige parameters die meegestuurd worden in het request genegeerd worden.

core.tknint.209

De parameters in het request naar het token endpoint worden bij het gebruik van een refresh token (refresh request) als volgt gevuld:

parameter

vulling

toelichting

parameter

vulling

toelichting

grant_type

letterlijke waarde “refresh_token”

Conform hoofdstuk 6 van RFC6749

refresh_token

het uitgegeven refresh_token

Conform hoofdstuk 6 van RFC6749

client_id

de hostname van de Node van de OAuth Client die de token request uitvoert. Deze moet hetzelfde zijn als de in het Authorization request gebruikte client_id.

Het gebruik van client_id is verplicht. Conform de verantwoordelijkheden als beschreven in het hoofdstuk TLS en certificaten moet al het netwerk-verkeer beveiligd worden met TLS. In hoofdstuk 2 van RFC8705 staat beschreven aan welke eisen voldaan moet worden bij een combinatie van OAuth2 en mutual TLS.

Conform de OAuth 2- specificatie moeten overige parameters die meegestuurd worden in het request genegeerd worden.

 

core.tknint.201

Opmerkingen

De nieuwe core.tknint.209 komt in de rij tussen core.tknint.200 en core.tknint.201

Review

Zijn de volgende acties uitgevoerd?

Alle rijen in de tabel zijn ingevuld
Er staan geen taal- en spelfouten in de aanpassingen
De juiste locatie is ingevoerd
(Indien van toepassing) de link(s) is/zijn correct toegevoegd
(Indien van toepassing) de vereiste afbeeldingen zijn aangepast