### Warum ist die aonyme Authentifizierung notwendig?
### Warum ist die anonyme Authentifizierung notwendig?
Im Rahme von fitconnenct soll das massenhafte absenden (spammen) von Anträgen über Ratelimiting verhindert werden und es sollen nur vertrauenswürdige Webseiten, die dem fitconnnenct Standards entsprechen, die Möglichkeit bekommen, Anträge über fitconnect zu übermitteln. Um diese Maßnahmen umsetzen und einen User über mehrere Requests hinweg sicher identifizieren zu können, ist eine Form der anonymen Authentifizierung notwendig.
...
...
@@ -87,7 +87,7 @@ Nach dem Anlegen eines Antragsübertragungsprozesses kann auf diesen nur mit JWT
Das API-Gateway muss die JWT-Tokens validieren:
1. Überprüfen, ob diese noch gültig sind und der JWT-Token maximal für 2h ausgestellt wurde.
2. Mit Hilfe des Public Keys die Signatur des JWT überprüfen. (Public Key wird auf Basis des **sid** ausgewählt)
2. Mithilfe des Public Keys die Signatur des JWT überprüfen. (Public Key wird auf Basis des **sid** ausgewählt)
3. Überprüfen, ob die gewünschte Destination-ID teil der in Scopes angegebenen Destination-IDs und für diesen Onlineservice freigegeben ist. (Zugangsberechtigung des Onlinedienstes)
4. Überprüfen, ob die Website (origin), von der der Antrag abgesendet wurde, für die jeweilige Session-ID freigegeben ist. (Verhindern von gefälschten Onlinediensten, die nicht den fitconnect-Standards entsprechen)
