oAuth REST API namens een gebruiker

Een Frontend toepassing die ontsloten werd via OpenID Connect kan een request uitvoeren naar een (backend) API en dit namens de aangemelde gebruiker.

Hierbij dient de frontend toepassing het ontvangen access token in te ruilen voor een access token dat geschikt is voor het bevragen van de API (dus met de correcte audience, met de correcte scopes, etc).

De ACM IDP biedt hiervoor volgende opties:

• aanmelden namens een gebruiker via token exchange: dit is de handigste manier, maar enkel bruikbaar als de Client de secret veilig kan bewaren
• aanmelden namens een gebruiker via de authorization code grant: dit is iets omslachtiger (omdat er eerst een authorization code uitgewisseld moet worden), maar dit is breder inzetbaar (bvb. ook door Clients die geen secret kunnen bewaren), waarbij dan extra beveiliging kan voorzien worden via PKCE