Zwei Oauth2 Flows – Vorteile / Nachteile

Credential Flow

Vorteile:

Schnelle Authentifizierung ohne Benutzerinteraktion
Ideal für automatisierte Prozesse
Einfach zu implementieren für M2M-Kommunikation
Keine Benutzerinteraktion notwendig

Nachteile:

Kein Benutzerzugriff, daher weniger Kontrolle
Unsicher, wenn Token kompromittiert wird
Keine Möglichkeit zur individuellen Benutzerauthentifizierung
Keine Benutzerzustimmung oder -rechte

Grant Auth Flow

Vorteile:

Ermöglicht dem Benutzer, Kontrolle über den Zugriff zu behalten
Benutzerzustimmung erhöht Sicherheit und Vertrauen
Flexibilität, falls Benutzerzugriff später erforderlich ist
Kann für M2M-Szenarien angepasst werden

Nachteile:

Erfordert Benutzerinteraktion, was den Prozess verlangsamen kann
Kann für automatisierte Prozesse nicht geeignet sein
Komplexer in der Implementierung als Credential Flow
Benutzerinteraktion könnte in manchen Fällen unnötig sein

Der Bezug eines Access Tokens mittels Curl – Credential Flow

Der Bezug des Client_Secret für die Curl Anfrage Beim Bezug des Access Tokens muss definiert werden, für welche TokenGruppe das Token gültig sein soll und das Client_Secret muss auf apps.hin.ch geholt werden, im Gegensatz zum Grant Flow, welches HIN definieren muss. Der Auth Token wird wie bei Variante A über apps.hin.ch geholt. Der Reiter erscheint erst wenn Initial eine fehlerhafter Request gesendet wird, … Weiterlesen Der Bezug eines Access Tokens mittels Curl – Credential Flow

Einleitung Zugriff auf HIN Geschützte Applikationen mit Access Token

Mit einem Access Token kann ein GET-Request an eine Anwendung oder API gesendet werden, um auf geschützte Daten zuzugreifen. Das Access Token wird dabei in der Anfrage übermittelt, um sicherzustellen, dass die Anfrage von einer autorisierten Quelle kommt. Sobald die Anwendung das Token überprüft hat, liefert sie die angeforderten Daten zurück, sofern das Token gültig ist. Das Access Token stellt also sicher, dass nur berechtigte Nutzer oder Anwendungen Zugriff … Weiterlesen Einleitung Zugriff auf HIN Geschützte Applikationen mit Access Token

Einleitung Refresh Token

Ein Refresh Token wird verwendet, um den Zugriff auf eine Anwendung oder einen Dienst aufrechtzuerhalten, ohne dass der Benutzer sich immer wieder neu anmelden muss. Nachdem ein Access Token abgelaufen ist, kann das Refresh Token dazu genutzt werden, ein neues Access Token zu erhalten, ohne dass der Benutzer seine Anmeldedaten erneut eingeben muss. Dies sorgt … Weiterlesen Einleitung Refresh Token

Zugriff mit Access Token via Curl

curl –header ‘Authorization: Bearer <Access Token>’ https://<oauth2.application.hin.ch> Beispiel anhand Covercard: curl –location ‹https://oauth2.covercard.hin.ch/covercard/servlet/ch.ofac.ca.covercard.CaValidationHorizontale?type=XML&langue=3&carte=<krankenkassen_karten_nr>&ReturnType=42a› –header ‹Authorization: Bearer <covercard_Access Token>› Weiterlesen Zugriff mit Access Token via Curl

Vorraussetzungen

Anforderungen OAuth2 Grant Flow OAuth2 Credential Flow Grant Type authorization_code(Autorisierungscode-Flow) client_credentials(Anwendungszugriff ohne Benutzer) State Hat keine Signifikanz, muss aber mitgegeben werden. Der Inhalt spielt keine Rolle. Hat keine Signifikanz, muss aber mitgegeben werden. Der Inhalt spielt keine Rolle. Access Token Ja, wird nach dem Austausch des Autorisierungscodes angefordert Ja, wird direkt nach der Anfrage nach den client_credentials angefordert client_id Ja, … Weiterlesen Vorraussetzungen

Zwei Oauth2 Flows – Vorteile / Nachteile

Credential Flow

Grant Auth Flow

Services

Antworten auf häufige Fragen

Informationen und Links

Fernwartung

HIN Customer Care Center

HIN Mail Global Support

Adresse