Etablere Dialogporten som token issuer for front-channel embeds og frontchannel write actions

[elsand]

Introduksjon

Dialogporten genererer JWT-er med sterk signatur som lar eksterne API-er enkelt verifisere at en request fra en sluttbruker/et system er autorisert.

Beskrivelse

Dette er beskrevet i arbeidsdokumentet som dialog-tokens, hvor dialogporten tilgjengeliggjør i dialog-aggregatet et kortlevd accesstoken som sluttbrukersystemer, herunder nettlesere som benytter arbeidsflate, kan benytte for å gjøre kall til en sikret ekstern ressurs uten annen autentisering eller behov for at det eksterne endepunktet foretar autorisasjon.

Dette innebærer at Dialogporten blir en token issuer og (i OAuth-terminologi, en "authorization server") som må stoles på av de eksterne API-ene ("resource servers")., hvor de sikrede ressursene befinner seg.

Dette vil muliggjøre front-channel embeds som skissert i #329 samt GUI-actions uten navigasjon i #331

Implementasjon

For actions med isWriteAction/isDeleteAction: true og dialogementer med frontChannelEmbed: true, legges det til et "dialogToken" property som inneholder et EdDSA-signert token. Se #343 for eksempelkode. EdDSA er på min maskin ca 100 ganger raskere enn RSA2048 (som også gir en komparativt svakere sikkerhet), og bruker en femtedel av minne, så dette er klart å foretrekke selv om ed25519 pt ikke er native støttet i .NET/Windows (trenger NSec).

Se kapitlet for dialog-tokens for informasjon om claims.

Oppgaver

Preview Give feedback

1. Lage .well-known-endepunkt som publiserer JWK-er med "kid" claim
2. Lage mekanisme for å generere tokens som bruker samme kid-claim
3. Lage konfigurasjon for som inneholder statisk hemmeligheter som er utgangspunkt for private keys (må være støtte for flere for å støtte rotering av keys)
4. Utvide modeller med dialogToken-properties
5. Populere details-DTO (både sluttbruker og serviceowner, sistnevnte for testformål) med dialogTokens for aktuelle actions/dialogelement-endpoints
6. Oppdatere felles-APIM
7. Generere/legge inn secrets i keyvaults

[elsand]

Refinement: vi dropper å oppdatere iac/workflows for å generere nøkkelpar, da dette blir å koste mer enn det smaker. Vi legger opp til at vi manuelt genererer nøkler (gjerne med toolet som er lagd) og legger dem inn som "eksterne" hemmeligheter i kildekeyvault. Dette vil også kunne gjøres for flyktige miljøer i fremtiden.