Aangezien er via de diensten van 2BA bedrijfsgevoelige informatie uitgewisseld kan worden hebben wij besloten om deze diensten alleen nog maar via HTTPS te ontsluiten. Dit is inmiddels de gangbare route en wordt als wenselijk gezien vanuit externe diensten. Per 2018-01-09 zijn de volgende sites naar strict-SSL:
Redirect service
HTTP verzoeken worden, indien mogelijk, automatisch doorgestuurd (via een redirect) naar HTTPS. Het is uiteindelijk de bedoeling en sneller om onze diensten rechtstreeks via HTTPS te benaderen. Indien u (onverhoopt) tóch gebruik wenst te maken van deze redirect service dan is het belangrijk om dit goed te testen. We verwachten dat de meeste implementaties dit niet wenselijk afhandelen, zie onderstaand voor meer informatie.
Testen
De geplande wijzigingen én automatische redirect is reeds doorgevoerd op onze bèta omgeving. In deze omgeving heeft u de mogelijkheid om te testen hoe uw implementatie omgaat met de automatische redirect.
Unifeed
De officiële URL voor Unifeed is https://unifeed.2ba.nl.
Voor klanten die nog met een oude, niet HTTPS URL werken, is de kans groot dat dit niet werkt. We verwachten geen problemen omdat dit via de redirect service opgelost wordt.
Webservice API
De officiële URL voor de webservice API is https://api.2ba.nl
Voor klanten die nog met een oude, niet HTTPS URL werken, is de kans groot dat dit niet werkt. De achtergrond hiervan is dat de authenticatie in de meeste gevallen via de "Authorization" http-header verloopt (standaard route OAuth2 protocol). De meeste libraries/functies zullen wel de door ons voorgestelde redirect volgen (statuscode 301) maar bij de redirect zal de "Authorization header" niet opnieuw geplaatst worden.
Zie voor .NET framework bijvoorbeeld: http://stackoverflow.com/questions/13159589/how-to-handle-authenticatication-with-httpwebrequest-allowautoredirect
Authorize server en Conditie Server
De Authorize én Conditie server zijn altijd al verplicht via HTTPS, geen wijziging aan uw kant nodig
Unifeed
Voor Unifeed verwachten wij dat door de doorverwijzing er geen wijzigingen in uw software nodig zijn.
Testurl HTTP: https://unifeed.beta.2ba.nl
Testurl HTTPS: https://unifeed.beta.2ba.nl
Productie HTTPS: https://unifeed.2ba.nl
Webservice API
Voor de webservice API ligt dit complexer.
De standaard route van authenticatie met OAuth2 is via de “Authorization” http-header.
Deze header zal bij de redirect vanuit de meeste libraries niet automatisch bij de nieuwe request geplaatst worden.
(Wat moet ik met onderstaande link?? Niet professioneel? En de link biedt toch geen oplossing voor de lezers van deze mail?)
Zie voor .NET framework bijv: https://stackoverflow.com/questions/13159589/how-to-handle-authenticatication-with-httpwebrequest-allowautoredirect
Afhankelijk van de implementatie en/of gebruikte library zullen requests die doorgestuurd worden die niet geautoriseerd worden. (slechte zin!)
De oplossing is hier om de webservices rechtstreeks via HTTPS aan te roepen.
Test-url HTTP: https://api.beta.2ba.nl/1
Test-url HTTPS: https://api.beta.2ba.nl/1
Productie HTTPS: https://api.2ba.nl/1