Skip to content
Snippets Groups Projects
Commit 903d33f4 authored by Lilith Wittmann's avatar Lilith Wittmann
Browse files

Destination ID vs Zustellberechtigungs-Scopes - fix naming

parent ee87ae0c
No related branches found
No related tags found
No related merge requests found
Hide whitespace changes
Inline Side-by-side
docs/Detailinformationen/Authentifizierung_von_Fachanwendungen.md
+ 7
7
View file @ 903d33f4
...@@ -52,12 +52,12 @@ Entsprechend [RFC 7519 Abschnnitt 8](https://tools.ietf.org/html/rfc7519#section ...@@ -52,12 +52,12 @@ Entsprechend [RFC 7519 Abschnnitt 8](https://tools.ietf.org/html/rfc7519#section
Entsprechend den [standartisierten Feldern](http://www.iana.org/assignments/jose/jose.xhtml#web-signature-encryption-algorithms): Entsprechend den [standartisierten Feldern](http://www.iana.org/assignments/jose/jose.xhtml#web-signature-encryption-algorithms):
| Feld | Inhalt | **Erläuterung** | | Feld | Inhalt | **Erläuterung** |
| ---------- | ------------------------- | ------------------------------------------------------------ | | ---------- | ------------------------------------- | ------------------------------------------------------------ |
| iat | Unix Timestamp | Zeitpunkt wann der Token ausgestellt wurde als Unix Timestamp. | | iat | Unix Timestamp | Zeitpunkt wann der Token ausgestellt wurde als Unix Timestamp. |
| exp | Unix Timestamp | Zeitpunkt wann der Token abläuft als Unix Timestamp (Token sollte max. 2 Stunden gültig sein vgl [BSI APP.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/06_APP_Anwendungen/APP_3_1_Webanwendungen_Edition_2020.pdf?__blob=publicationFile&v=1)). | | exp | Unix Timestamp | Zeitpunkt wann der Token abläuft als Unix Timestamp (Token sollte max. 2 Stunden gültig sein vgl [BSI APP.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/06_APP_Anwendungen/APP_3_1_Webanwendungen_Edition_2020.pdf?__blob=publicationFile&v=1)). |
| scope | Liste von Destination-IDs | Eine Liste der Destination-IDs, für die der JWT einen Abruf erlaubt. | | scope | Liste von Zustellberechtigungs-Scopes | Eine Liste der Zustellberechtigungs-Scopes, für die der JWT einen Abruf erlaubt. |
| clientType | receiver | Gibt an, das es sich um einen Token für eine Fachanwendung handelt, die Anträge empfangen kann. | | clientType | receiver | Gibt an, das es sich um einen Token für eine Fachanwendung handelt, die Anträge empfangen kann. |
**Beispiel** **Beispiel**
...@@ -79,5 +79,5 @@ Beim Abruf am Zustelldienst muss dieser bzw. das API-Gateway überprüfen, ob de ...@@ -79,5 +79,5 @@ Beim Abruf am Zustelldienst muss dieser bzw. das API-Gateway überprüfen, ob de
2. Überprüfen, ob diese noch gültig sind und 2. Überprüfen, ob diese noch gültig sind und
1. der JWT für max. 4h ausgestellt wurde. 1. der JWT für max. 4h ausgestellt wurde.
3. Mithilfe des Public Keys des Authentifizierungsservers die Signatur des JWT überprüfen. 3. Mithilfe des Public Keys des Authentifizierungsservers die Signatur des JWT überprüfen.
4. Überprüfen, ob die Destination-ID, die abgerufen werden soll teil der in den Scopes (**scope** Parameter in den JWTs) des JWTs ist. (Zugangsberechtigung der Fachanwendung). 4. Überprüfen, ob die Destination-ID, die abgerufen werden soll teil der in den Zustellberechtigungs-Scopes (**scope** Parameter in den JWTs) des JWTs ist. (Zugangsberechtigung der Fachanwendung).
docs/Detailinformationen/Authentifizierung_von_Usern.md
+ 1
1
View file @ 903d33f4
...@@ -136,7 +136,7 @@ Das API-Gateway muss die JWT-Tokens validieren: ...@@ -136,7 +136,7 @@ Das API-Gateway muss die JWT-Tokens validieren:
2. der Onlinedienst-JWT-Token für max. 24h ausgestellt wurde. 2. der Onlinedienst-JWT-Token für max. 24h ausgestellt wurde.
3. Mithilfe des Public Keys des Authentifizierungsservers die Signatur des Onlinedienst-JWT überprüfen. 3. Mithilfe des Public Keys des Authentifizierungsservers die Signatur des Onlinedienst-JWT überprüfen.
4. Mithilfe des im JWT-Token des Onlinedienst enthaltenen Public Key die Signatur des User JWT überprüfen 4. Mithilfe des im JWT-Token des Onlinedienst enthaltenen Public Key die Signatur des User JWT überprüfen
5. Überprüfen, ob die Destination-ID teil der in den Scopes (**scope** Parameter in den JWT Tokens) beider JWT-Tokens ist. (Zugangsberechtigung des Onlinedienstes und des Users). Bzw. ob der im Präfix des Onlineservice-Tokens dem Präfix der Destination-ID(s) entspricht. 5. Überprüfen, ob die Destination-ID teil der in den Zustellberechtigungs-Scopes (**scope** Parameter in den JWT Tokens) beider JWT-Tokens ist. (Zugangsberechtigung des Onlinedienstes und des Users). Bzw. ob die LeiKa/Region entsprechend der Destination freigegeben ist.
6. Überprüfen, ob die Website (origin), von der der Antrag abgesendet wurde, im domain Feld beider JWKs verzeichnet ist. (Verhindern von gefälschten Onlinediensten, die nicht den FIT-Connect-Standards entsprechen) 6. Überprüfen, ob die Website (origin), von der der Antrag abgesendet wurde, im domain Feld beider JWKs verzeichnet ist. (Verhindern von gefälschten Onlinediensten, die nicht den FIT-Connect-Standards entsprechen)
Das API-Gateway kann aufgrund der folgenden Parameter Rate-Limiting für API-Calls (angepasst an die jeweiligen Use Cases des Onlineservices) betreiben: Das API-Gateway kann aufgrund der folgenden Parameter Rate-Limiting für API-Calls (angepasst an die jeweiligen Use Cases des Onlineservices) betreiben:
......
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment