In OAuth API, sta x5u toe naast x5c
Closed this issue · 1 comments
Een onderdeel van het profiel voor OAuth[1] is de communicatie tussen client (native mobiele app of web applicatie) en de authenticatieserver. Het Amerikaanse iGov profiel waar dit op gebaseerd is zegt hierover dat het publieke deel van het certificaat ofwel onderdeel kan zijn van het JWT token dat wordt uitgewisseld, of dat er in het JWT token een URL is opgenomen waar het certificaat beschikbaar wordt gesteld. De aanbeveling van iGov is om de URL te gebruiken.
Het Nederlandse iGov-NL OAuth profiel [2] spreekt echter alleen over het doorgeven van certificaten als onderdeel van het JWT token zelf, en niet van het doorgeven als URL, zonder te onderbouwen waarom doorgifte als URL een slecht idee is. Ik zou dus graag als aanbeveling geven: neem het doorgeven van het publieke deel van het PKIo certificaat als url expliciet op in je profiel. Bovendien wordt er in het iGov-NL profiel veel tekst uit RFC 7517 herhaald. Kortom, tekstvoorstel, in plaats van
The PKIoverheid certificate MUST be included as a x5c parameter. The x5c parameter MUST be included as a list (array) of X509 certificate(s), as Base64 DER encoded PKIoverheid certificate(s). The first certificate MUST be the Client's certificate, optionally followed by the rest of that certificate's chain. The jwks structure MUST include the public key parameters with the same values of the corresponding X509 certificate included as x5c, as per [rfc7517] §4.7.
Stel ik voor
The PKIoverheid certificate MUST be included as a x5c or x5u parameter. Ref: [rfc7517] §4.7.
Met vriendelijke groet,
Marc Fleischeuers
[1] https://geonovum.github.io/KP-APIs-OAuthNL/#dutch-government-assurance-profile-for-oauth-2-0
[2] https://geonovum.github.io/KP-APIs-OAuthNL/#client-keys
Beste Marc,
Dank voor je suggestie we gaan hem overnemen.
Vriendelijke groeten
Frank Terpstra