Page Comparison

...

• De Aanvraagmodule moet een trust-relatie hebben met de Mijn Burgerprofiel Client-ID - zie Bijlage: Mijn-Burgerprofiel-Client-ID

Stroomdiagram

...

Hiervoor moet mijn Burgerprofiel het OAuth Access Token - verkregen via de Token Exchange - doorgeven. Door de gevoeligheid van het OAuth Access Token moet dit altijd via een server-to-server operatie verlopen als volgt:

1. De Aanvraagmodule moet een API-endpoint voorzien volgens de onderstaande API-specificaties.

2. Mijn Burgerprofiel (server) roept dat API-endpoint aan om een OAuth Access token te registreren.

3. Het resultaat van die registratie moet een tijdelijk, éénmalig te gebruiken token zijn, dat wordt doorgegeven zodra de Aanvraagmodule wordt geopend in de browser.

...

Doorloop de volgende stappen nadat de Aanvraagmodule het token heeft ontvangen:

1. Controleer dat het tijdelijke token niet vervallen is.
   Bijvoorbeeld: een aanvraagmodule kan het geregistreerde access token samen met het tijdelijk token voor 2 minuten opslaan in een cache. Op het moment dat een tijdelijk token dan gebruikt wordt, kan de aanvraagmodule controleren of het nog in de cache aanwezig is (en het token dan ook uit de cache verwijderen, zodat het niet meermaals gebruikt kan worden).

2. Controleer dat het tijdelijk token nog niet gebruikt is.

3. Valideer het uitgewisselde OAuth Access Token, zie ook https://authenticatie.vlaanderen.be/docs/beveiligen-van-api/oauth-rest/rest-namens-gebruiker/rest-token-exchange/valideer-access-token/

Indien aan alle voorwaarden is voldaan, kan de Aanvraagmodule een nieuwe sessie opstarten op basis van de gebruikerscontext die beschikbaar is via het OAuth Access Token.

Anchor
bijlage-mbp-client-id bijlage-mbp-client-id

Bijlage - Mijn Burgerprofiel Client-ID