Antwoord.

In de architectuur van IT-systemen wordt beveiliging op verschillende niveaus gerealiseerd: authenticatie, autorisatie, encryptie, auditing en monitoring. Een geïntegreerde aanpak van deze mechanismen is noodzakelijk, anders kan een kwetsbaarheid op één schakel de hele systeem bedreigen.

Belangrijkste manieren van integratie:

• Gebruik encryptie (Transport Layer Security, TLS) om verkeer te beschermen
• Implementeer gecentraliseerde authenticatie: OAuth2, OpenID Connect
• Pas rolgebaseerde autorisatie toe op API- en microservices-niveau
• Auditing en logging van toegang tot kritieke componenten

Voorbeeld van middleware voor token verificatie (JWT) in Express.js:

const jwt = require('jsonwebtoken');

function authMiddleware(req, res, next) {
    const token = req.headers['authorization'];
    try {
        const decoded = jwt.verify(token, 'SECRET_KEY');
        req.user = decoded;
        next();
    } catch (e) {
        res.status(401).send('Unauthorized');
    }
}

Belangrijke kenmerken:

• Meervoudige (defense-in-depth) beveiligingsstrategie
• Minimale toegangsrechten (principle of least privilege)
• Betrouwbare sleutelrotatie, encryptie van geheimen en toegangscontrole

Lastige vragen.

Is het voldoende om HTTPS te gebruiken voor volledige bescherming van API-verkeer?

Nee, HTTPS beschermt overdrachten, maar garandeert geen afwezigheid van kwetsbaarheden in eindpunten of de beveiliging van gegevensopslag.

Is OAuth2 een autonome authenticatiesysteem?

Nee, OAuth2 is een autorisatieprotocol; om de identificatie van een gebruiker te verkrijgen, wordt OpenID Connect bovenop OAuth2 gebruikt.

Kun je alleen vertrouwen op externe diensten (bijv. IAM) voor toegangsbeheer?

Nee, er is altijd een tweede controlevel binnen de applicatie nodig (bijv. RBAC/ABAC), omdat fouten in het externe systeem toegang tot kritieke bronnen kunnen geven.