Het implementeren van een token introspectie-endpoint voor je REST API is een goede praktijk om de geldigheid en status van tokens in realtime te valideren. Hier zijn de beste praktijken en adviezen voor een veilige en effectieve implementatie: 1. Ontwikkel een dedicated introspectie-endpoint: - URL-voorbeeld: `/oauth2/introspect` - Gebruik POST-verzoeken om tokens te controleren. 2. Beveilig het endpoint: - Vereis authenticatie (bijvoorbeeld via client credentials) zodat alleen geautoriseerde clients toegang hebben. - Gebruik OAuth 2.0 client credentials flow of API-sleutels voor authenticatie. - Implementeer TLS (HTTPS) voor alle communicatie om man-in-the-middle-aanvallen te voorkomen. 3. Beheer tokenstatussen effectief: - Houd een centrale opslag bij (bijvoorbeeld database, in-memory cache zoals Redis) van tokenstatussen. - Bij het uitgeven van tokens, registreer ze en hun geldigheidsstatus. - Bij introsspectie, controleer de token op: - Geldigheid (niet verlopen, niet ingetrokken) - Relevante claims (bijvoorbeeld scope, vervaldatum) - Overweeg een mechanisme om tokens in te trekken (bijvoorbeeld zwarte lijst). 4. Integratie met bestaande authenticatiesysteem: - Koppel de introspectie aan je authenticatiesysteem door tokengegevens te synchroniseren. - Als je gebruikmaakt van een Authorization Server (bijvoorbeeld OAuth 2.0 provider), gebruik dan de ingebouwde introspectie-endpoint van die server indien beschikbaar. - Voor zelfgehoste systemen: valideer tokens bij elke request door ze te controleren tegen je database of cache. 5. Optimaliseer voor prestaties: - Cache de resultaten van tokenintrospectie indien mogelijk, met een korte TTL, om de belasting te verminderen. - Verifieer de token snel en vermijd onnodige externe oproepen. 6. Log en monitor: - Log alle introspectie-aanvragen en de resultaten. - Bewaak het gebruik en de prestaties van het endpoint. 7. Documenteer het endpoint: - Geef duidelijk aan welke authenticatiemethoden vereist zijn. - Beschrijf de responseformaten en mogelijke statuscodes. 8. Voorbeeld response: ```json { "active": true, "scope": "read write", "client_id": "abc123", "username": "user1", "exp": 1635239123, "iat": 1635235523, "sub": "user1", "aud": "your_api", "iss": "https://auth.example.com" } ``` 9. Overweeg alternatieven: - Als je je eigen token management hebt, kan het bijhouden van een zwarte lijst en korte levensduur van tokens helpen de noodzaak voor frequent introspectie te verminderen. - Gebruik JWT-verificatie zonder introspectie voor statische tokens, tenzij je de status snel wilt kunnen intrekken. Door deze praktijken te volgen, zorg je voor een veilige, efficiënte en goed geïntegreerde token introspectie-implementatie binnen je REST API.

Zeker, hier zijn de beste praktijken voor het implementeren van een token introspectie endpoint in het Nederlands: ## 1. Endpoint Specificatie en Structuur - **Endpoint**: `POST /oauth/introspect` - **Content-Type**: `application/x-www-form-urlencoded` - **Response**: JSON met token status informatie ## 2. Authenticatie van Client Verzoeken ```http Authorization: Basic base64(client_id:client_secret) ``` Of via client credentials in de request body: ```http token=eyJ...&token_type_hint=access_token&client_id=...&client_secret=... ``` ## 3. Verplichte Veiligheidsmaatregelen - **HTTPS**: Altijd versleutelde verbindingen gebruiken - **Client Authenticatie**: Verplichten voor alle introspectie verzoeken - **Rate Limiting**: Implementeer om misbruik te voorkomen - **Audience Validatie**: Controleer of token voor jouw API bestemd is ## 4. Response Structuur ```json { "active": true, "scope": "read write", "client_id": "client123", "username": "gebruiker@voorbeeld.nl", "exp": 1672531200, "iat": 1672527600, "sub": "gebruiker123", "aud": "api.jouwdomein.nl", "iss": "https://auth.jouwdomein.nl" } ``` ## 5. Token Status Management ### Actieve Status Controles: - **Geldigheid**: Signature verificatie - **Verloopdatum**: `exp` claim controleren - **Intrekking**: Check tegen revocation list/database - **Scope**: Valideer geautoriseerde permissions ### Cache Strategie: ```javascript // Korte cache duur voor performance const cacheDuration = 30; // seconden const cachedIntrospection = await cache.get(tokenSignature); ``` ## 6. Integratie met Bestaand Authenticatie Systeem ### Database Schema Voorbeeld: ```sql CREATE TABLE revoked_tokens ( token_id VARCHAR(128) PRIMARY KEY, user_id VARCHAR(36), revoked_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP, expires_at TIMESTAMP ); CREATE TABLE token_metadata ( token_id VARCHAR(128) PRIMARY KEY, client_id VARCHAR(48), user_id VARCHAR(36), scope TEXT, issued_at TIMESTAMP, expires_at TIMESTAMP ); ``` ### Implementatie Stappen: 1. **Token Parsing en Validatie**: ```javascript const jwt = require('jsonwebtoken'); const tokenData = jwt.verify(token, publicKey, { algorithms: ['RS256'] }); ``` 2. **Introspectie Logica**: ```javascript async function introspectToken(token, clientCredentials) { // Valideer client credentials eerst const client = await validateClient(clientCredentials); if (!client) throw new Error('Invalid client'); // Parse en verify JWT const decoded = jwt.decode(token, { complete: true }); if (!decoded) return { active: false }; // Check revocation status const isRevoked = await checkTokenRevocation(decoded.payload.jti); if (isRevoked) return { active: false }; // Check expiration const isExpired = Date.now() >= decoded.payload.exp * 1000; return { active: !isRevoked && !isExpired, scope: decoded.payload.scope, client_id: decoded.payload.client_id, username: decoded.payload.sub, exp: decoded.payload.exp, // ... andere relevante claims }; } ``` ## 7. Beveiligingsheaders ```http Strict-Transport-Security: max-age=31536000; includeSubDomains X-Content-Type-Options: nosniff Cache-Control: no-store Pragma: no-cache ``` ## 8. Monitoring en Logging - Log alle introspectie verzoeken (zonder tokens) - Monitor voor verdachte patronen - Implementeer alerting bij misbruik ## 9. Foutafhandeling ```json { "error": "invalid_client", "error_description": "Client authentication failed" } ``` ## 10. Prestatie Overwegingen - Gebruik Redis of memory cache voor revocation lists - Implementeer connection pooling voor database queries - Overweeg distributed caching voor hoge beschikbaarheid Deze aanpak zorgt voor een veilige, schaalbare en conforme OAuth 2.0 Token Introspection implementatie die naadloos integreert met je bestaande authenticatiesysteem.