OAuth

Inhoudsopgave

    Status

    Lijst status
    In behandeling
    Functioneel toepassingsgebied

    Nog niet vastgesteld

    Europese status

    Nut en werking

    Typering
    API Autorisatiestandaard
    Nut

    Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. Het is voor telefoons, tablets, wearables, en internet of things apparaten een vaak gebruikte beveiligingsstandaard. Een bekend voorbeeld voor gebruikers is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google-account of Facebook-account. Dit wordt ondersteund door de OAuth 2.0-standaard.

    Werking

    OAuth 2.0 is een autorisatiestandaard voor met name webbased applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van tokens, waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur.

    Domein
    Relatie met andere standaarden
    Trefwoorden

    Detailinformatie

    Volledige naam

    Open Authorisation

    Versie
    2.0
    Specificatiedocument
    Beheerorganisatie
    IETF

    Toetsingsinformatie

    Toelichting bij opname

    Het Forum Standaardisatie heeft besloten de standaarden OAuth 2.0 in procedure te nemen voor opname op de ‘Pas toe of leg uit’-lijst. Aanleiding daartoe was de bespreking door het Forum van het Discussiedocument RESTful API’s op 16 maart 2016.

    Adoptieadviezen

    Geadviseerd wordt om eerst een overheidstoepassingsprofiel of handreiking voor de standaard OAuth 2.0 op te stellen voordat de standaard op te nemen op de lijst met open standaarden voor de status ‘Pas toe of leg uit’.

    Uitstekend beheer
    Expertadvies

    Expertadvies-OAuth-2.0

    PDF Document | 575.94 KB
    12 maart 2020 (13:49)
    Forumadvies

    FS170419.2B-Forumadvies-OAuth-2.0

    PDF Document | 226.23 KB
    12 maart 2020 (13:49)
    Consultatie

    Reacties-uit-openbare-consultatie-OAuth-2.0

    PDF Document | 331.78 KB
    12 maart 2020 (13:49)
    Forumadvies NLGOV profile OAUTH2.0

    FS-20200506.3B-Forumadvies-NLGov-profile-OAuth-2.0

    PDF Document | 220.78 KB
    02 juni 2020 (17:26)
    Commentaar uit de openbare consultatie

    Commentaar-uit-de-openbare-consultatie-NLGOV-profile-OAuth2.0

    PDF Document | 179.35 KB
    02 juni 2020 (17:27)
    Datum van aanmelding

    16-03-2016

    Overig

    Toelichting

    Er bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie en OAuth 2.0 voor autorisatie.

    Waarvoor geldt de verplichting

    Voor autorisatie van gebruikers via een REST API