From b90fb7192189b470f2e9b33afdbef8eb59ab9604 Mon Sep 17 00:00:00 2001 From: Lilith Wittmann <mail@lilithwittmann.de> Date: Mon, 3 May 2021 22:43:09 +0200 Subject: [PATCH] fix some spelling errors --- docs/Detailinformationen/Authentifizierung_von_Usern.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/docs/Detailinformationen/Authentifizierung_von_Usern.md b/docs/Detailinformationen/Authentifizierung_von_Usern.md index 9fc9e8fe..22ab6324 100644 --- a/docs/Detailinformationen/Authentifizierung_von_Usern.md +++ b/docs/Detailinformationen/Authentifizierung_von_Usern.md @@ -8,7 +8,7 @@ Wenn ein Onlinedienst nun einem User ermöglichen möchte, einen Antrag zu über <img src="../../assets/images/oauth/JWT_konzept.png" alt="JWT Konzept" width="400"/> -### Warum ist die aonyme Authentifizierung notwendig? +### Warum ist die anonyme Authentifizierung notwendig? Im Rahme von fitconnenct soll das massenhafte absenden (spammen) von Anträgen über Ratelimiting verhindert werden und es sollen nur vertrauenswürdige Webseiten, die dem fitconnnenct Standards entsprechen, die Möglichkeit bekommen, Anträge über fitconnect zu übermitteln. Um diese Maßnahmen umsetzen und einen User über mehrere Requests hinweg sicher identifizieren zu können, ist eine Form der anonymen Authentifizierung notwendig. @@ -87,7 +87,7 @@ Nach dem Anlegen eines Antragsübertragungsprozesses kann auf diesen nur mit JWT Das API-Gateway muss die JWT-Tokens validieren: 1. Überprüfen, ob diese noch gültig sind und der JWT-Token maximal für 2h ausgestellt wurde. -2. Mit Hilfe des Public Keys die Signatur des JWT überprüfen. (Public Key wird auf Basis des **sid** ausgewählt) +2. Mithilfe des Public Keys die Signatur des JWT überprüfen. (Public Key wird auf Basis des **sid** ausgewählt) 3. Überprüfen, ob die gewünschte Destination-ID teil der in Scopes angegebenen Destination-IDs und für diesen Onlineservice freigegeben ist. (Zugangsberechtigung des Onlinedienstes) 4. Überprüfen, ob die Website (origin), von der der Antrag abgesendet wurde, für die jeweilige Session-ID freigegeben ist. (Verhindern von gefälschten Onlinediensten, die nicht den fitconnect-Standards entsprechen) -- GitLab