Zustelldienst: CORS-Header für Zugriffe auf frei zugängliche Endpunkte

Warum?

Um im Zustelldienst einen Zugriff auf die .well-known- und Key-Endpunkte auch aus browserbasierten Anwendungen heraus zu ermöglichen, sollen entsprechende CORS-Header gesetzt werden, die einen solchen Zugriff erlauben.

Relevante Links und Bemerkungen

• Die deployte Version des Zustelldienstes ist bereits über den /actuator/info-Endpunkt abrufbar: https://submission-api-testing.fit-connect.fitko.dev/actuator/info
• Einführung zum Thema CORS: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

Akzeptanzkriterien

1. Der Zustelldienst gibt für folgende Endpunkte den HTTP-Header Access-Control-Allow-Origin: * aus:
   1. GET /.well-known/jwks.json
   2. GET /v1/info
   3. GET /v1/destinations/{destinationId}/keys/{keyId}
   4. GET /v1/destinations/{destinationId}
   5. GET /actuator/info
2. Der Response-Header (Access-Control-Allow-Origin) ist für alle drei oben genannten Endpunkte in der Submission API (Repo) dokumentiert.
3. Für andere Endpunkte (z.B. GET /404) gibt der Zustelldienst diesen Header nicht aus.

Durchführungsplan (vom Entwickler bei Storyplanung auszufüllen)

• ...
• ...
• ...
• Definition of Done wurde geprüft