Releases Youforce API & bestandsuitwisseling

Deze releasenotes zijn technisch van aard en bedoeld voor File API-ontwikkelaars die direct met de File API integreren of bekend zijn met de technische werking ervan. Deel deze release notes graag met de IT-afdeling van jullie organisatie.   Inleiding   De file API maakt op dit moment gebruik van het veilige OAUTH 2.0 protocol om gebruikers te authenticeren en bestanden uit te wisselen. Dit OAUTH 2.0 protocol is een wereldwijde standaard voor gegevensuitwisseling via API’s en wordt beschouwd als zeer veilig. Een 100% veiligheid is in onze huidige IT wereld echter moeilijk te garanderen. We proberen dan ook steeds de kansen op gegevensverlies nog verder  te minimaliseren. Zo is er ook voor het OAUTH 2.0 protocol een uitbreiding bedacht die deze kansen nog verder minimaliseert, de DPOP-token implementatie. Het implementeren van het DPoP token vereist een programmatische aanpassing aan de klantzijde. Daarom is deze optie vooral bedoeld voor klanten die zelf software ontwikkelen/hebben ontwikkeld voor gebruik met de File API. Neem zo nodig contact op met je IT afdeling of dit voor jullie een optie is. Gebruiken jullie op dit moment de powershell scripts om met de File API te communiceren, houd dan dit kanaal in de gaten. In de nabije toekomst zullen we het DPoP-token ook in de powershell scripts implementeren.   Huidige situatie Momenteel ondersteunt de File API geen DPoP-tokens als OAuth-bewijstype.   Nieuwe situatie Vanaf vandaag, 26 februari 2025, worden DPoP-tokens ook ondersteund.   Jouw actie: Indien je er zorg voor wilt dragen dat uitsluitend de rechtmatige ‘client’ een specifiek toegangstoken kan gebruiken, kun je de DPoP-stroom implementeren in je File API applicatie. Zodra de wijzigingen aan jullie kant zijn geïmplementeerd, kan je de onderstaande toggle activeren in het Visma Developer Portal → My Applications → Details. Deze wijziging zorgt voor een nog betere beveiliging van jouw File AP integratie.   Officiële specificatie: RFC 9449 - OAuth 2.0 Demonstrating Proof-of-Possession (DPoP) Ondersteunde cryptografische algoritmen: Onze implementatie hanteert strikte beveiligingsmaatregelen en ondersteunt uitsluitend de volgende cryptografische algoritmen: RSA: RS256, RS384, RS512, PS256, PS384, PS512 ECDSA: ES256, ES384, ES512 Het gebruik van het algoritme 'none' wordt expliciet geweigerd. Unieke identificator voor de DPoP-proof JWT: Deze implementatie bevat een validatie om reply-aanvallen te voorkomen. Hiervoor worden de waarden die in de jti-claim worden verzonden gedurende het geldigheidsvenster opgeslagen, zodat wordt gewaarborgd dat deze waarde uniek is en slechts één keer wordt gebruikt. Zorg ervoor dat je bij elke aanvraag een unieke GUID opgeeft in de jti-claim.