Dette dokumentet beskriver hvordan man får tilgang til, samt tar i bruk REN Webservice API. Dokumentet blir kontinuerlig oppdatert etterhvert som API-et utvikler seg.

Tabell 1. Endringslogg for dokumentet
Dato Beskrivelse

19.02.2018

Første versjon.

24.05.2018

Betingelser for bruk.

Introduksjon

REN APIer

Helheten REN Webservice API er delt inn i flere APIer basert på hva de berører. Her har vi f.eks. et API for sjekklister og et for RENblad og andre dokumenter. Hvert av disse APIene er frittstående, med egen versjonering og egen rot-URL. Men i utformning er de svært like, og det aller meste av dokumentasjonen gjelder felles for dem alle.

Teknologier

RENs API er i hovedsak basert på REST og JSON, og Oauth 2 brukes for autentisering. Deler av APIet berører personlige data eller selskapsdata, og krever da REN konto og brukerautentisering gjennom brukernavn og passord.

Betingelser for bruk

Bruk av REN Webservice API forutsetter at det foreligger en avtale om bruk.

Tilbakemeldinger

Dokumentet er skrevet av REN IT som kan kontaktes på epost tech@ren.no.

Meld feil og gi tilbakemelding her

Ved feil på API som må utbedres umiddelbart ring 47479900 (9-15).

Statusovervåking

Det er for tiden ikke mulig å overvåke status på våre API. Vi har ganske høy oppetid, men våre systemer vil være nede i korte perioder i forbindelse med oppgraderinger.

Dokumentasjon

Dette dokumentet inneholder generell informasjon om alle REN APIer. Gjennom menyen oppe på toppen av siden får man tilgang til sider med informasjon spisset til hvert enkelt API.

Detaljert dokumentasjon over selve endepunktene og datastrukturene er live-generert. Denne delen av dokumentasjonen er på engelsk. For mer informasjon, se avsnitt API-dokumentasjon.

Autentisering

REN API krever OAuth 2 autentisering, enten med "client credentials grant" for brukerløs maskin-maskin kommunikasjon, eller "resource owner password credentials grant" dersom man trenger tilgang til bruker- eller selskapsdata.

Se https://oauth.net/2 for spesifikasjon av standarden.

Klient-ID

REN utsteder en Oauth2 klient-ID til selskap som vil integrere. Den er kun gyldig for det selskapet, og skal ikke deles med andre selskap. Med klient-IDen følger en hemmelig nøkkel som under ingen omstendigheter skal eksponeres. Dette betyr blant annet at direkte kall mot REN API ikke er tillatt fra en nettleser-applikasjon. Slike kall må først delegeres til en egen backend-server, som så kan utføre kallet mot REN API.

Klient-IDen kan gjenbrukes av selskapet i andre applikasjoner om de så ønsker. Dersom dette gjelder forskjellige REN APIer så må klient-IDen gis tilgang til alle disse. Ta kontakt med REN for å få en klient med tilgang til det dere trenger.

Access token

Oauth 2 støtter forskjellige flyt (engelsk: flows) basert på typen applikasjon samt behov. Samtlige ender opp med en access token som skal sendes sammen med hvert kall. Denne access token har per idag en levetid på 15 minutter, og kan gjenbrukes så lenge den ikke har løpt ut. Man trenger altså ikke å hente ny access token for hvert kall.

Brukerløs autentisering

Den enkleste formen for autentisering er det som i Oauth 2 kalles "client credentials grant". Den er egnet for maskin-maskin autentisering hvor en personlig autorisasjon ikke er nødvendig.

Flyten mellom server og klient er slik at klienten sender en HTTP POST til <tokenUrl> med følgende body parametre til autorisasjonsserveren:

  • grant_type - verdi client_credentials

  • client_id - verdi <clientId>

  • client_secret - verdi <clientSecret>

  • scope - tom verdi

Autorisasjonsserveren svarer med et JSON-objekt som inneholder bl.a. følgende attributter:

  • token_type - verdi Bearer

  • expires_in - en integer som representerer TTL for access token

  • access_token - selve tokenet

For REN sitt produksjonsmiljø gjelder følgende:

Bruker-autentisering

Dersom APIet trenger tilgang til bruker- eller selskapsdata så må man bruke brukerautentisering. Det betyr at endebrukeren selv må taste inn sitt brukernavn og passord, og disse vil bli brukt i tillegg til den klient-baserte autentiseringen. I Oauth 2 terminologi heter dette "resource owner password credentials grant".

Flyten mellom server og klient er ved at klienten sender en HTTP POST til <tokenUrl> med følgende body parametre til autorisasjonsserveren:

  • grant_type - verdi password

  • client_id - verdi <clientId>

  • client_secret - verdi <clientSecret>

  • scope - tom verdi

  • username - brukerens brukernavn eller epost

  • password - brukerens passord

Autorisasjonsserveren svarer med et JSON-objekt som inneholder bl.a. følgende attributter:

  • token_type - verdi Bearer

  • expires_in - en integer som representerer TTL for access token

  • access_token - selve tokenet

For REN sitt produksjonsmiljø gjelder følgende:

Det finnes en generell konsensus om at "resource owner password credentials grant" ikke er en anbefalt flyt i Oauth 2, siden det baserer seg på passord, som i Oauth 2 kan betegnes som en anti pattern. REN har likevel foreløpig valgt å støtte denne flyten for brukerautentisering, siden den for eksterne integratører er den enkleste og mest naturlige formen å autentisere REN-brukere på. Kritikken går ut på at klient-applikasjonen (altså integratørens applikasjon) får tilgang til all brukerens data, og kan missbruke dette uten at brukeren er involvert. Siden REN har kun et begrenset antall velkjente integratører, samt kontrollerer API-tilgangen for disse, så ser REN foreløpig ikke dette som et problem i praksis.

Eksempler

Eksempel på å hente access token via "client credentials grant", med HTTP POST og Basic Auth, mot REN produksjonsmiljø:

curl -u <clientId>:<clientSecret> https://www.ren.no/auth/realms/www.ren.no/protocol/openid-connect/token -d 'grant_type=client_credentials'

Eksempel på å hente access token via "client credentials grant", med HTTP POST og parameter i HTTP bodyen, mot REN produksjonsmiljø:

curl https://www.ren.no//auth/realms/www.ren.no/protocol/openid-connect/token -d 'grant_type=client_credentials&client_id=<clientId>&client_secret=<clientSecret>'

Ved suksess vil man få en access token tilbake i JSON format:

{"access_token":"eyJhbGciOiJSUz...O4JkOrYn1eQ","expires_in":900,"refresh_expires_in":7200,"refresh_token":"eyJhbGciOiJSUzI1Ni...z3K_Fy3buXxrbfA","token_type":"bearer","id_token":"eyJhbGciOiJSUzI1N...Wom-o3fHcJP1xccpQ","not-before-policy":1477054899,"session_state":"d2be6355-d1da-4807-8ff2-0073712b7b01"}

I eksempelet over har man fått en access token med TTL på 900 sekunder. Innenfor 900 sekunder kan man bruke samme token, før den utløper.

Bruk av REN API

Versjonering

REN versjonerer sine APIer basert på bakoverkompatibilitet. Dette betyr at den synlige versjonen, for eksempel 1.0, ikke innebærer et låst API. APIet vil kunne utvides etter hvert uten at versjonen endres - så lenge endringene er bakoverkompatible. Derfor må integratører f.eks. takle at nye egenskaper og endepunkter blir lagt til.

Når det omsider blir nødvendig med en ny versjon, så vil REN informere sine integratører, og i en overgangsfase støtte både gammel og ny versjon. Deretter vil gammel versjon slutte å virke.

For å ha kontroll på hvilken versjon som en integratør trenger, krever REN API at versjonsnummeret blir sendt inn i HTTP header "api-version". Om denne header utelates vil man som svar få:

{
    "msg" : "Missing API version header 'api-version'. Current API version is '1.0'",
    "statusCode" : 400,
    "statusText" : "Bad Request"
}

Alle svar fra REN API vil innholde samme HTTP header "api-version", men denne gangen med den siste versjonen som applikasjonen kjører på.

Hvert REN API (f.eks. APIet for sjekklister og APIet for dokumenter) har sin egen versjonering.

Opsjoner

Følgende opsjoner kan brukes, som HTTP header, ved kall til REN API:

Tabell 2. Opsjoner
Navn Verdi Betydning

api-version

API-versjonen som klientapplikasjonen er bygget mot

Se avsnitt Versjonering. Påkrevd.

pretty

true eller false

Slår på eller av "pretty printing" for JSON-svar. Default er på, hvilket er mer brukervennlig og lettlest, men ikke anbefalt for produksjon. Å slå av "pretty printing" kan spare en god del båndbredde, og vil gi bedre ytelse.

API-dokumentasjon

Dokumentasjonen over selve endepunktene og datastrukturene er live-generert og på engelsk. Vanskelige termer er inline oversatt til norsk.

API-dokumentasjonen kan leses via REN sin API Browser. Denne kan vise dokumentasjon via Swagger UI, samt i AsciiDoctor-generert HTML-format. Den muliggjør også nedlasting av generert kode, som kan bli brukt som utgangspunkt for en integrasjon. Siden REN API støtter seg på Swagger / OpenAPI standard, så kan mange eksterne verktøy også brukes.

REN sin API Browser kan gjennom Swagger UI også brukes for å teste ut endepunktene. Man må klikke "Authorize" oppe til høyre og taste inn autentiseringsinformasjon. Deretter kan man på hvert enkelt endepunkt klikke "Try it out" og kjøre valgfrie kall mot endepunktet. Et annet alternativ er å bruke f.eks. Postman (https://www.getpostman.com).

Gå til API Browser