Studenten van de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) gebruiken een studentenapp om onder andere hun cijfers te zien. De app haalt deze gegevens op uit bijvoorbeeld het studenteninformatiesysteem door middel van api’s. Met SURFconext API Security kan dat veilig en vertrouwd. Met als bijkomend voordeel een simpelere en up-to-date infrastructuur. Voor de hoofdjury van de Computable Awards 2023 reden om het project ‘API Security’ te nomineren in de categorie Onderwijsproject.
Voordat gegevens in de app worden getoond, moet de api de identiteit van de student betrouwbaar kunnen vaststellen. Het gaat om persoonlijke data, die niet in handen van iemand anders mogen komen. Het moet bijvoorbeeld niet gebeuren dat een student het cijfer van een studiegenoot in de app te zien krijgt. Om api’s met gevoelige persoonsinformatie af te schermen, gebruiken de UvA en de HvA nu API Security van SURFconext. Dit zorgt ervoor dat api’s zeker ‘weten’ of de juiste persoon om gevoelige data vraagt.
API Security is dus een authenticatie- en autorisatieprotocol dat geschikt is voor mobiele apps. De studentenapp van de UvA/HvA is als dienst via het OpenID Connec- protocol aangesloten op SURFconext. De informatie die een student in deze app kan zien (cijfers, roosters), wordt door de app uit verschillende bronsystemen van UvA/HvA via api’s opgehaald. Deze bronsystemen zijn ook aangemeld in SURFconext, als ‘resource server’. Na een succesvolle inlog in de app krijgt de app een ‘token’ van SURFconext. De app kan met dit token als een soort van toegangsbewijs een verzoek aan de api’s van de bronsystemen doen om bijvoorbeeld cijfers voor de ingelogde gebruiker op te vragen. De api moet controleren of het toegangsbewijs geldig is en wil ook betrouwbaar kunnen vaststellen wie de gebruiker is die bij het toegangsbewijs hoort. Dat doet de api via API Security van SURFconext. Daar is het token uitgegeven en kan dus worden gecontroleerd of er niet mee gesjoemeld is.