Doel van de standaard verhelderen
Closed this issue · 2 comments
Ik lees bij het Forum elkaar tegensprekende dingen over het wat en waarom van de standaard zoals:
- "NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid."
- "Beveiligingstandaard voor het autoriseren van toegang tot REST API’s".
Dat zijn verschillende dingen.
In het profiel zelf staat: ""This document profiles the OAuth 2.0 web authorization framework for use in the context of securing web-facing application programming interfaces (APIs), particularly Representational State Transfer (RESTful) APIs". Dat lijkt de meest genuanceerde. Maar ik blijf zelfs dat wat onduidelijk vinden. Geldt het profiel alleen voor situaties waarin geen RESTful APIs worden gebruikt en verder niet? Lijkt me niet de bedoeling maar wordt zo wel gesuggereerd.
OAuth 2.0 is een raamwerk dat veel variaties toelaat wat de interoperabiliteit van implementaties niet ten goede komt. Het NL GOV profiel legt beperkingen op om het raamwerk tot een standaard te verheffen voor REST API’s van de overheid.
Alhoewel OAuth 2.0 breed ingezet kan worden, is het profiel ontwikkeld voor een functioneel toepassingsgebied beperkt tot REST API’s.
vraag is beantwoord & issue gesloten tijdens overleg 11-04-2024