Over de standaard

Beschrijving

API Autorisatiestandaard

Lijst status
In behandeling

Uitleg

Nut

Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. Het is voor telefoons, tablets, wearables, en internet of things apparaten een vaak gebruikte beveiligingsstandaard. Een bekend voorbeeld voor gebruikers is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google-account of Facebook-account. Dit wordt ondersteund door de OAuth 2.0-standaard.

Werking

OAuth 2.0 is een autorisatiestandaard voor met name webbased applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van tokens, waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur.

Detailinformatie

Beheerorganisatie
IETF
Volledige naam
Open Authorisation
Version
2.0
Waarvoor geldt de verplichting

Voor autorisatie van gebruikers via een REST API

Implementatie

Toelichting

Er bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie en OAuth 2.0 voor autorisatie.

Toetsingsinformatie

Functioneel toepassingsgebied

Nog niet vastgesteld

Toelichting bij opname

Het Forum Standaardisatie heeft besloten de standaarden OAuth 2.0 in procedure te nemen voor opname op de ‘pas toe of leg uit’-lijst. Aanleiding daartoe was de bespreking door het Forum van het Discussiedocument RESTful API’s op 16 maart 2016.

Datum van aanmelding
2016-03-16

Adoptieadviezen

Adoptieadviezen

Geadviseerd wordt om eerst een overheidstoepassingsprofiel of handreiking voor de standaard OAuth 2.0 op te stellen voordat de standaard op te nemen op de lijst met open standaarden voor de status ‘pas toe of leg uit’.