oAuth REST API namens een gebruiker
Bevragen van een API Resource namens een gebruiker
Een (frontend) toepassing die ontsloten werd via OpenID Connect kan een request uitvoeren naar een (backend) API Resource en dit namens de aangemelde gebruiker.
Hierbij dient de (frontend) toepassing het ontvangen OIDC access token in te ruilen voor een API access token dat geschikt is voor het bevragen van de API Resource (dus met de correcte audience (client ID van de API Resource), met de correcte scopes, etc).
De ACM IDP biedt hiervoor volgende opties:
- aanmelden namens een gebruiker via token exchange: dit is de handigste manier, maar enkel bruikbaar als de (frontend) toepassing de secret veilig kan bewaren
- aanmelden namens een gebruiker via de authorization code grant: dit is iets omslachtiger (omdat er eerst een authorization code uitgewisseld moet worden), maar dit is breder inzetbaar (bvb. ook door (frontend) toepassingen die geen secret kunnen bewaren), waarbij dan extra beveiliging kan voorzien worden via PKCE