From ff0058255654ca7be7abb5d84b2982000249145d Mon Sep 17 00:00:00 2001 From: Marco Holz <marco.holz@fitko.de> Date: Wed, 23 Jun 2021 17:49:03 +0000 Subject: [PATCH] =?UTF-8?q?Payload=20des=20Onlineservice-Token=20f=C3=BCr?= =?UTF-8?q?=20API-Clients=20bedeutungslos?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../Authentifizierung_von_antragssendenden_Systemen.md | 5 +++-- 1 file changed, 3 insertions(+), 2 deletions(-) diff --git a/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md b/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md index 71fb1b83..0999ec94 100644 --- a/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md +++ b/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md @@ -15,10 +15,11 @@ Bei der Registrierung eines antragssendenden Systems als API-Client über das Se - Der Public Key des Onlineservice-Schlüsselpaar ## Schritt 2: Ausstellung von Berchtigungstokens für Onlineservices (Onlineservice-Token) -Wenn ein Online-Antragsservice einer Antragsteller:in ermöglichen möchte, einen Antrag an die FIT-Connect Antrags-API zu übermitteln, muss dieser zunächst mithilfe der OAuth Client-Credentials beim OAuth-Server ein Berechtigungstoken (im Folgenden "Onlineservice-Token") nach dem Standard *JSON Web Token* gemäß [RFC 7519](https://tools.ietf.org/html/rfc7519)) abrufen. Dieser vom OAuth-Server signierte Onlineservice-Token enthält den Public-Key des Online-Antragsdienstes, der bei der Registrierung im Self-Service-Portal festgelegt wurde. +Wenn ein Online-Antragsservice einer Antragsteller:in ermöglichen möchte, einen Antrag an die FIT-Connect Antrags-API zu übermitteln, muss dieser zunächst mithilfe der OAuth Client-Credentials beim OAuth-Server ein Berechtigungstoken (im Folgenden "Onlineservice-Token") nach dem Standard *JSON Web Token* gemäß [RFC 7519](https://tools.ietf.org/html/rfc7519)) abrufen. Dieser vom OAuth-Server signierte Onlineservice-Token enthält den Public-Key des Online-Antragsdienstes, der bei der Registrierung im Self-Service-Portal festgelegt wurde. Aus Sicht von API-Clients (antragssendende und -empfangende Systeme) sind die Inhalte dieses Tokens gemäß OAuth-Spezifikation als bedeutungslos anzusehen und SOLLTEN daher NICHT interpretiert werden. Eine Prüfung des Onlineservice-Token auf Korrektkeit und Gültigkeit erfolgt ausschließlich durch den Zustelldienst. ### Payload des Onlineservice-Tokens -Im Payload des signierten Onlineservice-Token MÜSSEN mindestens die folgenden [standartisierten Felder](https://www.iana.org/assignments/jwt/jwt.xhtml) gesetzt sein: +Der hier beschriebene Payload des Onlineservice-Tokens dient lediglich der Dokumentation/Spezifikation. Antragssendende Systeme müssen den Payload des Tokens nicht auswerten oder interpretiern können. +Im Payload des signierten Onlineservice-Token werden vom Authorisierungsdienst die folgenden [standartisierten Felder](https://www.iana.org/assignments/jwt/jwt.xhtml) gesetzt: | Feld | Inhalt | **Erläuterung** | | --------------- | --------------------------------------- | --------------- | -- GitLab