stnor
commented
2 years ago @LM-andreas Vet du någon om det här?
Closed stnor closed 1 year ago
stnor
commented
2 years ago @LM-andreas Vet du någon om det här?
LM-andreas
commented
2 years ago För de flesta är jag beredd att hålla med.
Vi har dock scenarion där en och samma part hanterar digitala resurser för flera olika läromedelsproducenter.
Autentiseringen är då ett första steg. Sedan kan man behöva identifiera vilken producent man vill ha resurser från med någon form av identifierare.
Hur det används internt specifikt av mottagare som bara har sina egna lärresurser att tillhandahålla vet jag inte om jag vågar svara på.
stnor
commented
2 years ago Ok, jag förstår.
Vad är syftet med clientId/serviceProviderId. För mig är det internt state som inte skulle behöva skickas mellan parter. Bestämmer alla sin egen "id"? Måste den ens vara unik i systemet? GR kan ju ha ett helt annat serviceProviderId för en leverantör än Läromedia utan att det spelar någon som helst roll?
För min egen del så använder jag användarnamnet i den JWT jag utfärdat till att validera/fylla i clientId. Som läromedelsutgivare kan man ju inte lita på det som skickas från Webshoppen, och jag tar inte emot andra "serviceProviderId" än mitt eget.
Webshoppen bör ju ha samma förfarande så inte vem som helt kan utge sig för att vara någon annan.