Sicherheit

MUST Jeder API-Endpunkt muss geschützt sein und der Nutzer eines Endpunkts authentifiziert und autorisiert sein. Unsere Web-APIs privilegierter Schnittstellen unterstützen

zur Authentifizierung. Basic Authentication ist nur zu empfehlen, wenn sich Client und Server in einem geschützten Bereich befinden oder die Kommunikation über einen VPN-Tunnel gesichert ist. Ansonsten empfehlen wir OIDC (als Layer über OpenAPI OAuth2) zu verwenden.

Darüber hinaus bietet OIDC die Möglichkeit über einen Anmelde-Flow die Authentifizierung eines Nutzers durch die Client-Anwendung sowie die Möglichkeit weitere Informationen über diesen zu erhalten (z.B. Benutzername, Email-Adresse usw.).

OpenID Connect

Die privilegierten Schnittstellen sind zum Teil bereits über OIDC geschützt und werden sukzessiv hierauf umgestellt. Dabei werden JWT-Token und das HTTP-Authentifizierungsschema von Bearer Token verwendet. Dieses basiert auf dem RFC 6750 von OAuth2.0 und hat folgendes Format:

Auhorization: Bearer <token>

d.h., beim Aufruf geschützter APIs ist ein Bearer-Token im Header mit anzugeben. Das Token kann über über einen OIDC Client-Credential-Flow vom jeweiligen OpenID Connect-Provider abgefragt werden.

Cookie Consent mit Real Cookie Banner