OAuth

Inhoudsopgave

    Status

    Lijst status
    Aanbevolen
    Europese status
    Nee

    Nut en werking

    Typering
    API Autorisatiestandaard
    Nut

    Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 wordt als standaard vaak gebruikt voor de autorisatie van gebruikers op mobiele telefoons, tablets, wearables en internet of things apparaten. Een bekend voorbeeld is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google- of Facebook-account.

    Werking

    OAuth 2.0 is een autorisatiestandaard voor met web gebaseerde applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van 'tokens' waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur.

    OAuth 2.0 is een generieke standaard die meestal nog profielen (aanvullende afspraken) vereist voor toepassing in specifieke domeinen.

    Domein
    Relatie met andere standaarden
    Trefwoorden

    Detailinformatie

    Volledige naam

    Open Authorisation

    Versie
    2.0
    Specificatiedocument
    Beheerorganisatie
    IETF

    Toetsingsinformatie

    Toelichting bij opname

    Forum Standaardisatie heeft de standaard OAuth 2.0 in 2016 getoetst voor opname op de ‘pas toe of leg uit’-lijst, waarbij een volledig expertonderzoek is uitgevoerd en het expertadvies ter openbare consultatie is aangeboden. Het resulterende Forumadvies OAuth 2.0 van april 2017 luidde dat eerst een Nederlands overheidsprofiel moet worden ontwikkeld voordat OAuth kan worden opgenomen op de lijst open standaarden.

    Aansluitend heeft het Kennisplatform API’s gewerkt aan een Nederlands overheidsprofiel voor OAUth 2.0, dat op 15 juli 2019 werd gepubliceerd als ‘NL GOV Assurance profile for OAuth 2.0’. NL GOV Assurance profile for OAuth 2.0 bevat bindende afspraken over het gebruik van OAuth 2.0 bij de Nederlandse overheid en moet beheerd worden volgens de criteria voor open standaarden.

    In gevallen waar een generieke standaard moet worden toegepast met een specifieker profiel, plaatst het Forum Standardisatie het profiel op de 'pas toe of leg uit' lijst en de onderliggende generieke standaard op de lijst aanbevolen standaarden.

    Adoptieadviezen

    OAuth 2.0 moet worden toegepast met NL GOV Assurance profile for OAuth 2.0, het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid.

    Uitstekend beheer
    Expertadvies

    Expertadvies-OAuth-2.0.pdf

    PDF Document | 575.94 KB
    Forumadvies

    FS170419.2B-Forumadvies-OAuth-2.0.pdf

    PDF Document | 226.23 KB
    Consultatie
    Datum van aanmelding

    16-03-2016

    Overig

    Toelichting

    Er bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie; OAuth 2.0 alleen voor autorisatie.