[DOC_OP_02] 6.2. [INTEGRITY_REST_01] Integrità del payload messaggio REST

Il presente profilo estende ID_AUTH_REST_01 o ID_AUTH_REST_02, aggiungendo alla comunicazione tra fruitore ed erogatore a livello di messaggio:

  • integrità del payload del messaggio…

…continua a leggere su docs.italia.it

Sia il fruitore, che l’erogatore nel caso di inserimento dell’header Agid-JWT-Signature, devono firmare il token JWT.
Quale certificato è opportuno utilizzare? E’ sconsigliabile utilizzare un certificato self-signed o con una CA non riconosciuta?

1 Mi Piace

Abbiamo implementato i pattern ID_AUTH_REST_XX e INTEGRITY_REST_01 esposti dalle linee guida.
E’ possibile avere a disposizione esempi di implementazione o la possibilità di avere tool per la verifica che ciò che è stato implementato rispecchi in toto quello indicato dalle linee guida?

Ciao @fenzad contiamo di implementare degli strumenti per supportare la verifica di questi elementi, ma ad oggi non sono ancora presenti dei tool per quei pattern.

Se avete codice da condividere in opensource potrebbe essere un ottimo punto di partenza per creare uno strumento a supporto. cc: @Matteo_Fortini

Per quanto riguarda invece la verifica delle specifiche in formato OpenAPI, è sempre possibile usare lo strumento per fare i check disponibile su https://italia.github.io/api-oas-checker/

Grazie mille @Roberto_Polli, molto utile il check per l’OpenApi!
Per quanto riguarda la parte più delicata relativamente l’implementazione di ID_AUTH_REST_01 e INTEGRITY_REST_01 penso che a breve pubblicheremo un po’ di codice in .net core in github, e sicuramente chiederemo un vostro supporto.
Grazie ancora e un saluto.