nicolasguillet
commented
4 years ago Diese Frage hatten wir in der Arbeitsgruppe auch diskutiert, es gibt andere Partner, welche die genau gleiche Konstellation haben. Deshalb haben wir sichergestellt, dass das API auch funktioniert, wenn so eine Cloud-Lösung viele Billers mit den gleichen Tokens bedient, d.h. es ist dann möglich, mit einem REST-Call z.B. alle Events aller damit verbundenen Billern zu erhalten. Da dies eine recht gute Lösung ist, hatten wir beschlossen, den Client Credentials Grant Flow nicht in den Standard aufzunehmen, weil sonst viele andere, welche das Problem nicht verstehen oder zumindest nicht beherzigen, diesen auch verwenden würden, was dann gar nicht gut wäre.
Als NWP schliessen wir auch SW-Partner mit einer Cloud-Lösung an. Dabei kommuniziert der SW-Partner für alle bei ihm angeschlossenen Rechnungssteller mit einem einzigen OAuth-Credential mit unserem NWP.
Da dieser SW-Partner eine garantiert gesicherte IT-Infrastruktur besitzt, finden wir es sinnvoll, ihn nicht über den Authorization Code Grant sondern über Client Credentials Grant anzuschliessen – analog zur Anschluss der NWPs an die SIX Infrastruktur.
Kann der Client Credentials Grant als Alternative in das SWP-API aufgenommen werden?