...
**TX = TokenExchange: een toepassing kan namens een geauthenticeerde gebruiker het access token inruilen via een Token Exchange
Zie ook:
https://authenticatie.vlaanderen.be/docs/beveiligen-van-api/oauth-rest/rest-namens-gebruiker/rest-token-exchange/
STAP | HANDELING |
|---|---|
1 | Gebruiker De gebruiker meldt zich aan op Mijn Burgerprofiel. De global header Mijn Burgerprofiel authenticeert de gebruiker via ACM (standaard Open IDConnect-flow). Indien nodig delegeert ACM de authenticatie naar FAS. |
2 | Mijn Burgerprofiel vraagt een OAuth TX token op bij ACM om de attesten op te halen. |
3 | Mijn Burgerprofiel voert een request uit naar de attesten-backend met het ACM OAuth TX Token (een lijst met attesten opvragen of een specifiek attest downloaden). |
4 | De attesten-backend valideert het ACM Oauth TX token. |
5 | De attesten-backend vraagt een nieuw OAuth TX token op bij ACM om naar de specifieke backend van de bron te gaan. Die bron wordt bepaald op basis van de “audience” (ACM Client-ID van de bron). |
6 | De attesten-backend voert het request uit naar de backend van de bron en gebruikt hiervoor het nieuwe ACM OAuth TX Token, dat een specifieke scope voor die bron heeft. |
7 | De backend van de bron valideert het ACM OAuth TX token bij ACM. Het antwoord op de vraag kan nu gestuurd worden: de lijst met attesten wordt getoond of het opgevraagde attest kan worden gedownload. |
| Info |
|---|
Voor integraties met het Rijksregister en DABS wordt er gebruik gemaakt van MAGDA. Dat betekent dat in de tabel hierboven, vanaf stap 5, via MAGDA naar het Rijksregister of DABS wordt gegaan. |
...
. |