|
|
Authentifizierung bei Webanwendungen HIT/ZIDEine Authentifizierung dient der Identifizierung eines Anwenders bzw. dessen Bezeugung der Echtheit. Diese legt jedoch nicht die Zugriffsberechtigungen fest, was der Anwender mit seiner Authentifizierung innerhalb einer Anweldung sehen und/oder bearbeiten darf. Dafür ist die Autorisierung zuständig, welche nicht Bestandteil dieser Übersichtsseite ist. Orte
DetailsAnmeldung WebseiteDie Authentifizierung zur Nutzung der Webanwendungen HIT und ZID
geschieht innerhalb der Webanwendung: Zur Prüfung wird eine aktive Sitzung überprüft, ob diese anhand des
noch gültigen Session-Cookies seitens des Webbrowsers noch existiert. Von extern hat man keinen Einfluss auf diesen Prüf- und Anmeldeprozess.
Anmeldung RESTDiese Art der Anmeldung ist in einem eigenen Dokument beschrieben. Man hat dort die Möglichkeit, die Anmeldung mit der Benutzerkennung vorzunehmen. Mit HIT v3 (nicht v2!) kann man auch mit einem von der OIDC-Schnittstelle erhaltenen Access Token anmelden, wobei aus Sicherheitsgründen auch die bei der OIDC-Kommunikation verwendete Client-ID angegeben werden muss. Unter Zuhilfenahme eines Cache-Token lässt sich wie in einer klassischen Webanwendung eine Nutzeranmeldung über mehrere Anfragen hinweg nutzen.
Anmeldung mit HTTP-HeaderFür das HIT v1 wurde die Möglichkeit geschaffen, aus einer externen
Anwendung (Webseite oder Programm) heraus mit einer dort bestehenden
Anmeldung ohne erneute Anmeldung sich in unserer HIT-Webanwendung
einzuklinken. Dazu wird der im
RFC 7235
Kapitel 4.2 beschriebene Da HIT v1 ausschließlich TLS-verschlüsselte Verbindungen zulässt, können die für die Anmeldung notwendigen Parameter (wie in einer Anmeldemaske übrigens auch) unverschlüsselt angegeben werden, da sie vor dem Versand über die HTTP-Verbindung automatisch verschlüsselt werden. AblaufWird ein Schlägt diese Anmeldung fehl, wird auf unsere Anmeldeseite weitergeleitet, so dass der Benutzer dennoch die Möglichkeit hat, sich bei uns anzumelden. Auch wenn die Anmeldung zwar erfolgreich war, aber die PIN bereits abgelaufen ist, wird man ebenfalls auf unsere Anmeldeseite weitergeleitet. Wird kein oder ein fehlerhafter AufbauAuthorization: "HitLogin" WS <key> OWS "=" OWS <value> (OWS "," OWS <key> OWS "=" OWS <value>)*
Schlüssel
Ein Wert BeispieleBeispiel einer Anmeldung im Testsystem: Authorization: HitLogin bnr="09 000 000 0001", pin=900001 Hiermit findet die Anmeldung mit der Betriebsnummer 09 000 000 0001 und dessen PIN 900001 statt und man erhält den gewünschten Inhalt der Seite, ohne zur HIT-eigenen Anmeldemaske springen zu müssen. Der Anwender ist anschließend natürlich auch für weitere Seiten in der Webanwendung angemeldet, als hätte er sich über unsere eigene Anmeldemaske angemeldet. Obiges Beispiel liese sich auch ohne Leerzeichen im Wert nutzen: Authorization: HitLogin bnr=276090000000001, pin=900001 Eine PIN mit erhöhter Komplexität (derzeit noch nicht möglich) würde etwa so aussehen: Authorization: HitLogin bnr=276110000000004, pin="G=\"f.(Dw\\i2a" Hier sind das doppelte Hochkomma
Authentifizierung via OIDC-OAuth-SchnittstelleDies ist in einem eigenen Dokument beschrieben. Ein von dort erhaltenes Access Token kann nur bei der REST-Schnittstelle verwendet werden, um sich damit anmelden zu können. In erster Linie dient dieses jedoch nur der Authentifizierung.
. |
|