4.2 Bezug von Auth-Codes
Der Auth-Code ist ein OTP (One-Time-Password), das für den Bezug des Access-Tokens verwendet wird und zehn Minuten gültig ist. Der Bezug kann über zwei Varianten erfolgen:
4.2.1 Variante a): Anzeigen des Auth-Codes in der Webapplikation
Auf apps.hin.ch können Auth-Codes für den Bezug des Access-Tokens generiert werden. Für den OAuth-Service wird ein separates Register bereitgestellt.
Beim Zugriff auf apps.hin.ch wird standardmässig das erste Register («HIN-Mail») angezeigt. Um das Ganze für den Anwender zu vereinfachen, können die Auth-Codes über einen Direktlink bezogen werden: http://apps.hin.ch/#app=HinCredMgrOAuth;tokenGroup=<TokenGruppe>
Der Wert nach tokenGroup= ist je nach Ziel-Applikation unterschiedlich und kann bei HIN angefragt werden.
4.2.2 Variante b): Übermittlung über Query-Parameter
Bei dieser Variante wird der Auth-Code an eine definierte Redirect-URI übermittelt. Die anwendende Person bestätigt dies durch den Klick auf «Ja, Zugriff erlauben». Die Redirect-URI wird über die aufgerufene URL mitgegeben:
http://apps.hin.ch/REST/v1/OAuth/GetAuthCode/<TokenGruppe>?response_type=code&client_id=<client_id>&redirect_uri=<Redirect_URI>&state=<state>
| Wert | Beschreibung |
|---|---|
<TokenGruppe> | Applikationsgruppe, für welche ein Token bezogen werden soll (Achtung: Der Name ist Case-sensitive) |
<Redirect_URI> | Redirect-URI, an welcher der Browser nach dem Bestätigen des Dialoges mit dem Auth-Code weitergeleitet wird. Der Wert muss URL-encoded sein und für die entsprechende Client-ID hinterlegt werden. |
<state> | Ein statischer Wert, welcher bei der Weiterleitung des Browsers bestehen bleibt |
<client_id> | oAuth-Client-ID: HIN-vergebene ID für die Drittapplikation. Es handelt sich hierbei nicht um eine HIN-Identität im herkömmlichen Sinne. |
Beispiel-Request für die Applikation «ACS-Applikation»: https://www.hin.ch/?state=teststate&code=qdoWMwRNHnn9wDNynbMxytwahEGNXBqtipQhZXLF