1.4.1.9 Refresh Tokens
Closed this issue · 5 comments
(binnengekomen via webformulier)
opmerking:
Het gebruik van Refresh Tokens wordt geschrapt t.o.v. het iGov-profiel. Dat is niet wenselijk, omdat dit token toegevoegde waarde biedt voor de beveiliging; het is er niet voor niets. Dit willen we graag houden.
oplossing:
Niet schrappen.
Het refresh token biedt slechts beperkt toegevoegde waarde qua beveiliging en introduceert vooral nieuwe risico's. Het refresh token ondersteund vooral extra use cases, zoals langdurig gebruik van een afgegeven autorisatie. Het gebruik ervan kan dan zeker gepast zijn. Aanvullende richtlijnen voor gebruik en maatregelen zijn dan wellicht nog nodig.
opmerking Jan-Jaap via mail: ik kan met niet meer herinneren waarom we het refresh token geschrapt hebben. De uitleg dat het toegevoegde waarde voor de beveiliging bied vind ik vreemd, uiteraard snap ik wel dat het toegevoegde waarde biedt (niet voor de beveiliging dus). Ik zie geen grote problemen om het refresh token in het profiel te zetten.
We zijn de extra mogelijkheden voor beveiliging(kortere geldigheid accesstokens). Het brengt ook nieuwe risico's met zich mee. Je moet ook verantwoord om gaan met je refresh token.
We gaan refresh tokens toestaan met daarbij een best practice dat voor beveiligingsniveau hoog geen refreshtokens toepast, voor substantieel alleen met een korte levensduur en voor de lagere niveau's ongelimiteerd toestaan. Uitwerking eHerkening als richtinggevend voorbeeld te gebruiken. Daarnaast moet de client bij gebruik refresh token opnieuw authenticeren.
Waarom zou je geen refreshtoken toestaan? Is de geldigheidsduur van het accesstoken dan al de maximum tijd die je voor de toegang tot de resources toestaat, zodat een refresh geen toegevoegde waarde biedt? Want anders is een refresh token toch altijd van voordeel, doordat je aan de server kant kan controleren of een sessie nog in leven gehouden mag worden (en dus termineren als er een uitlog verzoek voorbij gekomen is, bijv. ivm een gestolen device). Lang durende accesstokens kan je niet meer intrekken
rationale document bijwerken op aanpassingen iniGov-NL profiel