oAuth Authorization Code Grant

Indien de gebruiker zich via OpenID Connect authenticeerde, dan kan de (frontend) toepassing namens deze aangemelde gebruiker een REST API aanspreken.

Hiervoor stuurt deze (frontend) toepassing het Access Token uit de OpenId Connect authenticatie als “Bearer token” mee in een oAuth Authorization Code Grant verzoek: de (frontend) toepassing specifieert de ClientID voor de API die hij wil bevragen als een audience en ontvangt dan een access token, bedoeld voor de API, waarmee de API de scopes van de eindgebruiker kan opvragen op het oAuth Introspection Endpoint.

Schematisch ziet de flow er als volgt uit:

1. De (frontend) toepassing vraagt een Authorization Code aan voor een request namens de eindgebruiker (die reeds aangemeld is op de toepassing): zie aanvraag Code
2. De (frontend) toepassing ontvangt een Authorization Code
3. De (frontend) toepassing vraagt een Access Token aan bij het Token Endpoint: zie aanvraag Access Token
4. Indien de authenticatie succesvol was, dan ontvangt de (frontend) )toepassing een Access Token: zie terugsturen Access Token
5. De (frontend) toepassing bezorgt het Access Token aan de API (= de Resource): zie vraag Resource op
6. De API valideert het Access Token bij het oAuth Introspection Endpoint: zie valideer Access Token
7. Het oAuth Introspection Endpoint valideert het Access Token en geeft de scopes voor dit request mee: zie terugsturen scopes
8. De API bezorgt de (frontend)) toepassing de gevraagde informatie