alternative API-Authentifizierung an der API
Serverless Egov-Anwendungen für Bürger:innen und Verwaltung im Außendienst wohnen über Fit-Connect mit den Fachverfahren kommunizieren.
Ein OAuth-Proxy-Backend für die Speicherung der client_id
und des client_secrets
vorhalten zu müssen, erschwert die Skalierung der Anwendungen sehr. Zudem bedeutet es nicht wirklich mehr "Sicherheit" für die API, wenn die API des Proxy's nicht besonders geschützt ist.
Die Anwendungen sind geo-repliziert im DSG-VO Raum verfügbar und auch nur aus diesem erreichbar. Das Betriebsszenario basiert auf einer DNS-Logik und mehrheitlich statischer Ressourcen.
Die Fit-Connect Authentifizierung dient als API-Schutz, oder?
Mein Vorschlag: Alternativ kann eine Domain-Registrierung erfolgen, welche bspw. in die CORS-Einstellungen der API übernommen wird. Könnte die Authentifizierungs-Notwendigkeit eventuell ersetzt werden? Ein API-Key als "Benutzername" und die gängigen API-Schutzmaßnahmen (Throtteling, Quota ... per IP) gut schützen und den technischen Zugang einfacher gestalten.