Hoofdinhoud
Van 13 mei tot 13 juni 2024 liggen een uitbreiding van de API Design Rules met de module Signing & Encryptie en een nieuwe versie van het Nederlands Profiel OAuth2 in consultatie. Beiden maken deel uit van de API Strategie.
API Design Rules | module Signing & Encryptie
Om informatie via API’s veilig en betrouwbaar uit te wisselen tussen overheden onderling en tussen overheden, burgers en bedrijven zijn signing en encryptie belangrijke technieken. Met name daar waar extra waarborgen nodig zijn voor de integriteit, authenticiteit (signing) of geheimhouding(encryptie) van HTTP berichten tussen client en server. Bijvoorbeeld daar waar er intermediairs in het berichten verkeer zijn. Binnen het kennisplatform zijn nieuwe modules ontwikkeld waarin afspraken voor signing met JAdES en Payload encryptie worden vastgelegd:
ADR HTTP Message and payload signing with JAdES
De JAdES standaard biedt functioneel identieke mogelijkheden als de digitale handtekeningen in de ETSI AdES-familie ( CAdES, PAdES en XAdES ). Met JAdES kan elk type payload ondertekend worden en indien gewenst ook relevantie delen van de HTTP header.
Bekijk ADR HTTP Message and payload signing with JAdES
Indienen reacties via kan via Github
ADR HTTP Payload encryption
De module ADR HTTP Payload encryption bevat afspraken voor het versleutelen van vertrouwelijke gegevens in een HTTP bericht en is gebaseerd op de IETF JSON Web Encryption (JWE) standaard.
Bekijk ADR HTTP Payload encryption
Indienen reacties kan via Github
Bij een positieve beoordeling na deze consultatie, zullen signing & encryptie worden opgenomen als stabiele optionele modules binnen de ADR standaard. Dit betekent dat sterk aangeraden wordt om de modules te gebruiken voor de usecases waarvoor deze bedoeld zijn, maar het is nog niet verplicht.
OAuth profiel v1.1
Voor het OAuth profiel is er een client credentials flow toegevoegd aan het profiel. Hierdoor ondersteunt het profiel ook machine to machine verkeer. Verder heeft het document een kleine facelift gekregen waardoor je nu direct in de opmaak kunt zien waar het Nederlandse profiel afwijkt van het oorspronkelijke iGov profiel.
Zienswijzes op de uitbreiding van het OAuth profiel kan je indienen via Github of door een mail te sturen naar API@logius.nl