MMOS-95 Inconsistentie Scope Autorisatie verzamelen
In het AS zijn een aantal inconsistenties geslopen betreffende de scope van de tokens.
Core.authorisatie.203 en 206
Core.authorisatie.207 bevat een tikfout
https://afsprakenstelsel.medmij.nl/display/MMOptioneel/Verantwoordelijkheden%2C+Core
Oude tekst
Nieuwe tekst
Hoewel het technisch mogelijk is om meerdere scopes mee te geven, maakt de OAuth Client voor de functies Verzamelen en delen gebruik van één scope tegelijk. Hierin staat de MedMij-naam van de Aanbieder, waarbij autorisatie wordt gevraagd, genoemd. De OAuth Authorization Server genereert authorization-codes en access-tokens refresh-tokens met een enkelvoudige scope die gelijk is aan de scope in het verzoek van de OAuth client. Voor de functie delen geldt dat dee OAuth Client alleen gebruikmaakt van één scope tegelijk. De OAuth Authorization Server genereert authorization-codes en access-tokens met een enkelvoudige scope die geheel vervat moet zijn in de Gegevensdienstwaarom de OAuth Client heeft gevraagd.'.
de scope
waarvoor de authorization-code, het access-token of het refresh-token is uitgegeven, in de vorm van een kopie van de scope-parameter van de authorization request in antwoord waarop de authorization-code, het access-token of het refresh-token is uitgegeven
Geen andere informatie dan de in core.autorisatie.206 genoemde mag voorkomen in de authorization-code, het access-token of het refresh-token, ook niet versleuteld. Er mogen t.a.v. informatie-inhoud van het token verschillende keuzes gemaakt worden tussen authorization-code, access-token of het refresh-token. De OAuth Client mag de inhoud van het token niet interpreteren.
core.tknint.205 bevat onterecht de eis dat dat het gebruikt van een redirect_uri altijd verplicht is, maar dit is volgens 6. Refreshing an Access Token
geen parameter bij de inwisseling van een refresh-token.https://afsprakenstelsel.medmij.nl/display/MMOptioneel/Token+interface
Oude tekst
Nieuwe tekst
De OAuth Authorization Server draagt geen access token over als in de token request geen redirect_uri
is opgenomen, en evenmin als er in de token request wel een redirect_uri
is opgenomen, maar deze niet identiek is aan de redirect_uri
die de OAuth Authorization Server, bij uitreiking, verbonden heeft aan de authorization code die in de token request wordt aangeboden. Bij het inwisselen van een refresh token voor een access token wordt de parameter redirect_uri
niet gebruikt.