Gebruik van HTTP statuscode 403 in plaats van 401.

Description

De FHIR IG sectie "Handling Errors" beschrijft het gebruik van een 401 bij onvoldoende authorisatie. In veel gevallen binnen het gebruik van de informatiestandaard is een 403 beter toepasbaar omdat de gebruiker waarschijnlijk al is geauthenticeerd.

Het gebruik van de 401 is te herleiden naar de FHIR specificatie. Hier lijkt een inconsisentie te zitten tussen de http en search secties. Hierover een vraag gesteld op Zulip.

Verduidelijking van Impact

Backwards compatible verbetering in een voornameleijk informatief gedeelte van de IG. Geen impact op huidige implementaties; beide HTTP status codes zouden goed zijn, echter de te wijzige code is beter.

Proposed solution (NL)

De IG sectie 'Handling errors' en de extra example pagina aanpassen op het gebruik van de HTTP statuscode 403 in plaats van 401 wanneer een request zonder valide autorisatie wordt gedaan.
Daarnaast is de link naar de FHIR spec https://www.hl7.org/fhir/stu3/security.html#AccessDenied toegevoegd in de tekst als onderstaande:
"For the most common errors, the expected handling is listed in table [xxx] below. This should be interpreted as a guideline, as the nature of an error is not always unambiguous and various FHIR reference implementations will make different choices. The FHIR specification provides more detail on error handling in general, access denied responses and for search operations specifically. "

Proposed solution (EN)

None

Release notes (NL)

In the FHIR IG section on handling errors, the status code for unauthorized requests has been adjusted from 401 to 403. In the introduction text, a reference to the FHIR security spec has been added.

Release notes (EN)

None

Linked work items

is related to

MM-1476

"Handling errors" contains errors

MM-1882

Aanvulling algemene FHIR IG met informatie uit MedMij RFC0041

Activity

opdenberg

January 19, 2021 at 1:56 PM

Former user, de wijziging op pagina https://informatiestandaarden.nictiz.nl/wiki/MedMij:Vissue-MM-1651/FHIR_Error_handling_examples#Invalid_authorization moet nog meegenomen worden. Betreft een kleine tekstuele aanpassing in lijn met bovenstaande, maar deze wijziging was het handigst om met de transitie uit de MedMij namespace te combineren had ik van je begrepen?

Pieter Edelman

January 19, 2021 at 12:09 PM

Former user @opdenberg wat moet er nog verder worden aangepast aan de example-pagina?

Ardon Toonstra

January 19, 2021 at 10:56 AM

In overleg met Stephan gereviewd. Wijzigingsvoorstel akkoord. Example page moet nog worden aangepast.

Ardon Toonstra

December 9, 2020 at 5:33 PM

Hier staat meer informatie dat gebruikt kan worden voor de verbetering: https://www.hl7.org/fhir/security.html#AccessDenied

Resize work item view side panel

Resolved

Pinned fields

Click on the next to a field label to start pinning.

Details

Assignee

opdenberg

Reporter

Ardon Toonstra

Classification

Patch (Z)

Informatiestandaard onderdelen

Technisch ontwerp

Information standard

Alle

Fix versions

2020.01 - Januari 2021

Priority

High

Better Excel Exporter

Created December 9, 2020 at 4:34 PM

Updated January 12, 2024 at 12:52 PM

Resolved January 26, 2021 at 10:33 AM