EPS - Eisen (en aanbevelingen) Uitwisseling publieke sleutels
| # | Eis | FHIR service | Bron applicatie | Domein |
|---|---|---|---|---|
| 001 | Elke applicatie of systeem dat gebruik maakt van HTI, SMART on FHIR app launch, SMART on FHIR backend services en/of token introspectie MOET zijn publieke sleutel bekend maken. Dit gebeurt in domeinbeheer door middel van het configureren van een JWKS URL. Op de referentie implementatie is het ook toegestaan om de publieke sleutel te configureren. | x | x | |
| 002 | Indien een JWKS endpoint wordt gebruikt, dient deze gebruik te maken van https. | x | x | |
| 003 | De Key ID (kid) van het ondertekende JWK moet overeenkomen met een Key ID ( kid ) uit het JWKS document. Het header veld kid is verplicht in de JWT tokens. | x | x | |
| 004 | De URL voor het publiceren van het JWKS document staat vrij en kan per applicatie-instantie worden geconfigureerd in domeinbeheer. | x | ||
| 005 | Het aangeboden document moet het formaat JSON Web Keys hebben, en application/json encoded zijn. | x | x | |
| 006 | De autorisatie service MOET alle publieke sleutels die onderdeel zijn van de sleutelparen die gebruikt worden voor ondertekening via de JWKS URL beschikbaar maken. | x | ||
| 007 | Keys die niet langer gebruikt worden dienen niet langer via JWKS als publieke sleutel te worden aangeboden. De TTL en de Cache-Control van de uitgegeven tokens dient wel in acht genomen te worden. | x | x | |
| 008 | De aangeboden keys mogen enkel publieke sleutels zijn, de JWK specificatie kent ook de representatie van private sleutels. Deze mogen expliciet niet via het JWKS endpoint gedeeld worden. | x | x |