Uploaded image for project: 'MedMij Standaarden'
  1. MedMij Standaarden
  2. MM-1651

Gebruik van HTTP statuscode 403 in plaats van 401.

    Details

    • Type: Wijzigingsverzoek
    • Status: Gesloten
    • Priority: 3
    • Resolution: Resolved
    • Fix Version/s: 2020.01 - Januari 2021
    • Component/s: None
    • Blokkerend:
      Nee
    • Informatiestandaard:
      Alle
    • Informatiestandaard onderdelen:
      Technisch
    • Impact:
      Backwards compatible verbetering in een voornameleijk informatief gedeelte van de IG. Geen impact op huidige implementaties; beide HTTP status codes zouden goed zijn, echter de te wijzige code is beter.
    • Voorgestelde oplossing:
      Hide
      De IG sectie 'Handling errors' en de extra example pagina aanpassen op het gebruik van de HTTP statuscode 403 in plaats van 401 wanneer een request zonder valide autorisatie wordt gedaan.
      Daarnaast is de link naar de FHIR spec https://www.hl7.org/fhir/stu3/security.html#AccessDenied toegevoegd in de tekst als onderstaande:
      "For the most common errors, the expected handling is listed in table [xxx] below. This should be interpreted as a guideline, as the nature of an error is not always unambiguous and various FHIR reference implementations will make different choices. The FHIR specification provides more detail on error handling in general, access denied responses and for search operations specifically. "
      Show
      De IG sectie 'Handling errors' en de extra example pagina aanpassen op het gebruik van de HTTP statuscode 403 in plaats van 401 wanneer een request zonder valide autorisatie wordt gedaan. Daarnaast is de link naar de FHIR spec https://www.hl7.org/fhir/stu3/security.html#AccessDenied toegevoegd in de tekst als onderstaande: "For the most common errors, the expected handling is listed in table [xxx] below. This should be interpreted as a guideline, as the nature of an error is not always unambiguous and various FHIR reference implementations will make different choices. The FHIR specification provides more detail on error handling in general, access denied responses and for search operations specifically. "
    • Release notes:
      Hide

      In the FHIR IG section on handling errors, the status code for unauthorized requests has been adjusted from 401 to 403. In the introduction text, a reference to the FHIR security spec has been added.

      Show
      In the FHIR IG section on handling errors, the status code for unauthorized requests has been adjusted from 401 to 403. In the introduction text, a reference to the FHIR security spec has been added.

      Description

      De FHIR IG sectie "Handling Errors" beschrijft het gebruik van een 401 bij onvoldoende authorisatie. In veel gevallen binnen het gebruik van de informatiestandaard is een 403 beter toepasbaar omdat de gebruiker waarschijnlijk al is geauthenticeerd. 

      Het gebruik van de 401 is te herleiden naar de FHIR specificatie. Hier lijkt een inconsisentie te zitten tussen de http en search secties. Hierover een vraag gesteld op Zulip.

       

       

        Attachments

          Issue Links

            Activity

              People

              Assignee:
              Opdenberg@nictiz.nl Stephan Opdenberg
              Reporter:
              toonstra Ardon Toonstra
              Watchers:
              4 Start watching this issue

                Dates

                Created:
                Updated:
                Resolved:

                  Estimations By Role

                  No roles have been estimated yet.