Inhoud access token in lijn brengen met RFC9068
Opened this issue · 1 comments
Omschrijving
Sinds het profiel is opgesteld, heeft IETF de RFC 9068 uitgebracht. RFC9068 beschrijft een standaard JWT formaat voor access tokens. Deze RFC meenemen in het profiel kan overwogen worden voor interoperabiliteit.
Concreet wordt met name sectie 3.2.1 van het profiel geraakt. Om dit in lijn met sectie 2.2 van RFC9068 te brengen, zullen de claims 'iat' en 'azp' als verplicht moeten worden toegevoegd. Verder moet de claim 'sub' ook verplicht worden gesteld, dit is lijn met issue #7.
Daarnaast is de claim 'client_id' toegevoegd, die zou overeenkomen met 'azp'. Hoe hiermee om te gaan zal nader uitgewerkt moeten worden.
Daarnaast is er ook een wijziging in the JWT header. De JWT header hoort 'typ' (content-type) 'at+jwt' te krijgen, conform RFC9068 sectie 2.1. Ook hiervoor zal nader uitgewerkt moeten worden hoe hiermee om te gaan.
Bovenstaande is geen volledige analyse, er kan dus nog verdere impact zijn.
Naam
Remco Schaar
Organisatie
Logius
Nagaan bij de IGOV werkgroep of dit wordt meegenomen in hun nieuwe versie