Hoofdinhoud
Logius houdt een publieke consultatie voor NL GOV Assurance profile for OAuth 2.0. Deze versie bevat inhoudelijke uitbreidingen en verduidelijkingen en markeert een belangrijke stap in de doorontwikkeling van het OAuth NL Profiel. De consultatie loopt tot 5 september 2025. Feedback en suggesties zijn welkom via api@logius.nl of via issues op GitHub. Help mee dit profiel klaar te maken voor de definitieve v1.2.0.
Belangrijkste wijzigingen
De nadruk ligt op aanvullende use-cases, verbeterde beveiligingsmechanismen en uitlijning met internationale standaarden zoals RFC 9068, 8693 en 9126.
| Onderwerp | Titel | Toelichting | Wijziging |
|---|---|---|---|
| Autorisatie & Claims | Claims buiten delegatiescenario’s | Ondersteuning toegevoegd voor scenario’s waarbij autorisatie plaatsvindt zonder tussenkomst van een resource owner, zoals bij server-naar-server communicatie. | #48 |
| Tokenbeheer | Token Exchange (RFC 8693) | Volledige ondersteuning van token exchange workflows, inclusief specificatie van de vereiste claims en security-eisen. |
|
| Pushed Authorization Requests (PAR) | PAR beschreven volgens RFC 9126, ter ondersteuning van betere beveiliging bij het aanvragen van autorisatiecodes. | #91 | |
| Rich Authorization Requests (RAR) | Toevoeging van het gebruik van RAR als advanced security option, voor fijnmazige autorisatie. NOTE: RAR zal ook worden gebruikt in combinatie met Token Exchange in aankomende wijzigingen rondom het delegatie vraagstuk. Dit conform de standaarden en niet een custom oplossing zoals represents. | #85 | |
| Beveiligingsmechanismen | Proof-of-Possession (PoP) en DPoP | De sectie over token binding is uitgebreid en verduidelijkt. | #68 |
| JWT Access Tokens (RFC 9068) | Het gebruik van JWT-access tokens is geüpdatet volgens de specificatie, inclusief structuur en claims. Dit is een wijziging die geïnspireerd is door iGOV | #104 | |
| Token introspection verduidelijkt | Aanscherping van gebruikscontexten voor introspectie, met verwijzing naar publieke vs. vertrouwelijke clients. | #88 | |
| Sender-constrained tokens | Voorbereidende discussie gestart i.v.m. beweging van iGOV richting het uitfaseren van public clients. | #113 | |
| Redactionele en beheertechnische wijzigingen | Verwijzingen naar beheermodel toegevoegd | Contextuele verwijzingen opgenomen naar het beheermodel van het profiel. | #77 |
| Dark mode ondersteuning | Technische ondersteuning toegevoegd voor dark mode rendering. | #94 | |
| Verbeterde syntax highlighting | Taalherkenning voor codefragmenten gecorrigeerd. | #95 |
Lees de consultatieversie op GitHub.