snapshot.html

<!DOCTYPE html><html lang="nl"><!-- HTML-Header ----------------------------------------------------------------------------- --><head><meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no"><meta content="text/html; charset=utf-8" http-equiv="content-type"><meta name="generator" content="ReSpec 23.7.4"><style>/* --- ISSUES/NOTES --- */
div.issue-title, div.note-title , div.ednote-title, div.warning-title {
    padding-right:  1em;
    min-width: 7.5em;
    color: #b9ab2d;
}
div.issue-title { color: #e05252; }
div.note-title, div.ednote-title { color: #2b2; }
div.warning-title { color: #f22; }
div.issue-title span, div.note-title span, div.ednote-title span, div.warning-title span {
    text-transform: uppercase;
}
div.note, div.issue, div.ednote, div.warning {
    margin-top: 1em;
    margin-bottom: 1em;
}
.note > p:first-child, .ednote > p:first-child, .issue > p:first-child, .warning > p:first-child { margin-top: 0 }
.issue, .note, .ednote, .warning {
    padding: .5em;
    border-left-width: .5em;
    border-left-style: solid;
}
div.issue, div.note , div.ednote,  div.warning {
    padding: 1em 1.2em 0.5em;
    margin: 1em 0;
    position: relative;
    clear: both;
}
span.note, span.ednote, span.issue, span.warning { padding: .1em .5em .15em; }

.issue {
    border-color: #e05252;
    background: #fbe9e9;
}
.issue.closed span.issue-number {
    text-decoration: line-through;
}

.note, .ednote {
    border-color: #52e052;
    background: #e9fbe9;
}

.warning {
    border-color: #f11;
    border-width: .2em;
    border-style: solid;
    background: #fbe9e9;
}

.warning-title:before{
    content: "⚠"; /*U+26A0 WARNING SIGN*/
    font-size: 3em;
    float: left;
    height: 100%;
    padding-right: .3em;
    vertical-align: top;
    margin-top: -0.5em;
}

li.task-list-item {
    list-style: none;
}

input.task-list-item-checkbox {
    margin: 0 0.35em 0.25em -1.6em;
    vertical-align: middle;
}

.issue a.respec-gh-label {
  padding: 5px;
  margin: 0 2px 0 2px;
  font-size: 10px;
  text-transform: none;
  text-decoration: none;
  font-weight: bold;
  border-radius: 4px;
  position: relative;
  bottom: 2px;
}

.issue a.respec-label-dark {
  color: #fff;
  background-color: #000;
}

.issue a.respec-label-light {
  color: #000;
  background-color: #fff;
}
</style>
<!-- -----------------------------------------------------------------------------------------------
//-- File. . . :  index.html
//-- Bevat . . :  Template voor de index.html die verplicht is voor respec  
//--              Gebaseerd op https://github.com/Geonovum/respec/wiki
//--              Deze file moet worden neergezet in de root-directory van de 
//--              betreffende standaard. 
//-- Door. . . :  Jan van Gelder
//-- -----------------------------------------------------------------------------------------------
//-- -----------------------------------------------------------------------------------------------
//-- Log . . . :  20181015 - JvG - Initiele versie 
//
----------------------------------------------------------------------------------------------------
0        1         2         3         4         5         6         7         8         9         0
1234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890
------------------------------------------------------------------------------------------------ -->
    
    
    <!-- Invullen: de titel van de standaard of het document ----------------------------------- -->
    <title>API strategie voor de Nederlandse overheid</title>
    <!-- Invullen: de naam van de lokale CSS file ---------------------------------------------- -->
    <link rel="stylesheet" type="text/css" href="./media/style.css">
    <link rel="shortcut icon" type="image/x-icon" href="https://tools.geostandaarden.nl/respec/style/logos/Geonovum.ico">
    
    
  <style id="respec-mainstyle">/*****************************************************************
 * ReSpec 3 CSS
 * Robin Berjon - http://berjon.com/
 *****************************************************************/

/* Override code highlighter background */
.hljs {
  background: transparent !important;
}

/* --- INLINES --- */
h1 abbr,
h2 abbr,
h3 abbr,
h4 abbr,
h5 abbr,
h6 abbr,
a abbr {
  border: none;
}

dfn {
  font-weight: bold;
}

a.internalDFN {
  color: inherit;
  border-bottom: 1px solid #99c;
  text-decoration: none;
}

a.externalDFN {
  color: inherit;
  border-bottom: 1px dotted #ccc;
  text-decoration: none;
}

a.bibref {
  text-decoration: none;
}

#references :target {
  background: #eaf3ff;
}

cite .bibref {
  font-style: normal;
}

code {
  color: #c83500;
}

th code {
  color: inherit;
}

/* --- TOC --- */

.toc a,
.tof a {
  text-decoration: none;
}

a .secno,
a .figno {
  color: #000;
}

ul.tof,
ol.tof {
  list-style: none outside none;
}

.caption {
  margin-top: 0.5em;
  font-style: italic;
}

/* --- TABLE --- */

table.simple {
  border-spacing: 0;
  border-collapse: collapse;
  border-bottom: 3px solid #005a9c;
}

.simple th {
  background: #005a9c;
  color: #fff;
  padding: 3px 5px;
  text-align: left;
}

.simple th[scope="row"] {
  background: inherit;
  color: inherit;
  border-top: 1px solid #ddd;
}

.simple td {
  padding: 3px 10px;
  border-top: 1px solid #ddd;
}

.simple tr:nth-child(even) {
  background: #f0f6ff;
}

/* --- DL --- */

.section dd>p:first-child {
  margin-top: 0;
}

.section dd>p:last-child {
  margin-bottom: 0;
}

.section dd {
  margin-bottom: 1em;
}

.section dl.attrs dd,
.section dl.eldef dd {
  margin-bottom: 0;
}

#issue-summary>ul,
.respec-dfn-list {
  column-count: 2;
}

#issue-summary li,
.respec-dfn-list li {
  list-style: none;
}

details.respec-tests-details {
  margin-left: 1em;
  display: inline-block;
  vertical-align: top;
}

details.respec-tests-details>* {
  padding-right: 2em;
}

details.respec-tests-details[open] {
  z-index: 999999;
  position: absolute;
  border: thin solid #cad3e2;
  border-radius: 0.3em;
  background-color: white;
  padding-bottom: 0.5em;
}

details.respec-tests-details[open]>summary {
  border-bottom: thin solid #cad3e2;
  padding-left: 1em;
  margin-bottom: 1em;
  line-height: 2em;
}

details.respec-tests-details>ul {
  width: 100%;
  margin-top: -0.3em;
}

details.respec-tests-details>li {
  padding-left: 1em;
}

a[href].self-link:hover {
  opacity: 1;
  text-decoration: none;
  background-color: transparent;
}

h2,
h3,
h4,
h5,
h6 {
  position: relative;
}

aside.example .marker > a.self-link {
  color: inherit;
}

h2>a.self-link,
h3>a.self-link,
h4>a.self-link,
h5>a.self-link,
h6>a.self-link {
  border: none;
  color: inherit;
  font-size: 83%;
  height: 2em;
  left: -1.6em;
  opacity: .5;
  position: absolute;
  text-align: center;
  text-decoration: none;
  top: 0;
  transition: opacity .2s;
  width: 2em;
}

h2>a.self-link::before,
h3>a.self-link::before,
h4>a.self-link::before,
h5>a.self-link::before,
h6>a.self-link::before {
  content: "§";
  display: block;
}

@media (max-width: 767px) {
  dd {
    margin-left: 0;
  }

  /* Don't position self-link in headings off-screen */
  h2>a.self-link,
  h3>a.self-link,
  h4>a.self-link,
  h5>a.self-link,
  h6>a.self-link {
    left: auto;
    top: auto;
  }
}

@media print {
  .removeOnSave {
    display: none;
  }
}
</style><style>/*

github.com style (c) Vasily Polovnyov <vast@whiteants.net>

*/

.hljs {
  display: block;
  overflow-x: auto;
  padding: 0.5em;
  color: #333;
  background: #f8f8f8;
}

.hljs-comment,
.hljs-quote {
  color: #998;
  font-style: italic;
}

.hljs-keyword,
.hljs-selector-tag,
.hljs-subst {
  color: #333;
  font-weight: bold;
}

.hljs-number,
.hljs-literal,
.hljs-variable,
.hljs-template-variable,
.hljs-tag .hljs-attr {
  color: #008080;
}

.hljs-string,
.hljs-doctag {
  color: #d14;
}

.hljs-title,
.hljs-section,
.hljs-selector-id {
  color: #900;
  font-weight: bold;
}

.hljs-subst {
  font-weight: normal;
}

.hljs-type,
.hljs-class .hljs-title {
  color: #458;
  font-weight: bold;
}

.hljs-tag,
.hljs-name,
.hljs-attribute {
  color: #000080;
  font-weight: normal;
}

.hljs-regexp,
.hljs-link {
  color: #009926;
}

.hljs-symbol,
.hljs-bullet {
  color: #990073;
}

.hljs-built_in,
.hljs-builtin-name {
  color: #0086b3;
}

.hljs-meta {
  color: #999;
  font-weight: bold;
}

.hljs-deletion {
  background: #fdd;
}

.hljs-addition {
  background: #dfd;
}

.hljs-emphasis {
  font-style: italic;
}

.hljs-strong {
  font-weight: bold;
}
</style><link rel="stylesheet" href="https://tools.geostandaarden.nl/respec/style/GN-CV.css"><link rel="shortcut icon" type="image/x-icon" href="https://tools.geostandaarden.nl/respec/style/logos/Geonovum.ico"><script id="initialUserConfig" type="application/json">{
  "specStatus": "GN-CV",
  "specType": "HR",
  "pubDomain": "api",
  "publishDate": "2019-02-13",
  "editors": [
    {
      "name": "Frank Terpstra",
      "company": "Geonovum",
      "companyURL": "http://www.geonovum.nl/"
    },
    {
      "name": "Jan van Gelder",
      "company": "Geonovum",
      "companyURL": "http://www.Geonovum.nl/"
    }
  ],
  "authors": [
    {
      "name": "Lancelot Schellevis",
      "company": "Forum Standaardisatie",
      "companyURL": "http://www.forumstandaardisatie.nl/"
    },
    {
      "name": "Friso Penninga",
      "company": "Geonovum",
      "companyURL": "http://geonovum.nl/"
    },
    {
      "name": "Matthias Snoei",
      "company": "Swis",
      "companyURL": "http://swis.nl/"
    },
    {
      "name": "Jasper Roes",
      "company": "Het Kadaster",
      "companyURL": "http://www.kadaster.nl/"
    },
    {
      "name": "Emile van de Maas",
      "company": "",
      "companyURL": ""
    }
  ],
  "shortName": "API-Strategie",
  "subtitle": "Consultatieversie",
  "github": "https://github.com/geonovum/KP-APIs",
  "issueBase": "https://github.com/geonovum/KP-APIs/issues/",
  "localBiblio": {
    "OAuth2": {
      "href": "https://tools.ietf.org/html/rfc6749",
      "title": "The OAuth 2.0 Authorization Framework",
      "authors": [
        "D. Hardt"
      ],
      "date": "October 2012",
      "publisher": "The Internet Engineering Task Force"
    },
    "Expert": {
      "href": "https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf",
      "title": "Expertadvies OAuth 2.0",
      "authors": [
        "P. Dam"
      ],
      "date": "24 februari 2017",
      "publisher": "Forum Standaardisatie",
      "id": "expert"
    },
    "JWT": {
      "href": "https://tools.ietf.org/html/rfc7519",
      "title": "JSON Web Token (JWT)",
      "authors": [
        "M. Jones, J. Bradley, N. Sakimura"
      ],
      "date": "may 2015",
      "publisher": "IETF"
    },
    "JWS": {
      "href": "https://tools.ietf.org/html/rfc7515",
      "title": "JSON Web Signature (JWS)",
      "authors": [
        "M. Jones, J. Bradley, N. Sakimura"
      ],
      "date": "may 2015",
      "publisher": "IETF"
    },
    "JWE": {
      "href": "https://tools.ietf.org/html/rfc7516",
      "title": "JSON Web Encryption (JWE)",
      "authors": [
        "M. Jones, J. Hildebrand"
      ],
      "date": "may 2015",
      "publisher": "IETF"
    },
    "JWK": {
      "href": "https://tools.ietf.org/html/rfc7517",
      "title": "JSON Web Key (JWK))",
      "authors": [
        "M. Jones"
      ],
      "date": "may 2015",
      "publisher": "IETF"
    },
    "JWA": {
      "href": "https://tools.ietf.org/html/rfc7518",
      "title": "JSON Web Algorithms (JWA)",
      "authors": [
        "M. Jones"
      ],
      "date": "may 2015",
      "publisher": "IETF"
    },
    "PKCE": {
      "href": "https://tools.ietf.org/html/rfc7636",
      "title": "Proof Key for Code Exchange by OAuth Public Clients",
      "authors": [
        "N. Sakimura, J. Bradley, N. Agarwal"
      ],
      "date": "september 2015",
      "publisher": "IETF"
    },
    "Introspection": {
      "href": "https://tools.ietf.org/html/rfc7662",
      "title": "OAuth 2.0 Token Introspection",
      "authors": [
        "J. Richer"
      ],
      "date": "October 2015",
      "publisher": "IETF"
    },
    "OpenID.Core": {
      "href": "https://openid.net/specs/openid-connect-core-1_0.html",
      "title": "OpenID Connect Core 1.0",
      "authors": [
        "N. Sakimura, J. Bradley, M. Jones, B. de Medeiros, C. Mortimore"
      ],
      "date": "November 8 2014",
      "publisher": "OpenID foundation"
    },
    "iGOV.OpenID": {
      "href": "https://openid.net/specs/openid-igov-openid-connect-1_0.html",
      "title": "International Government Assurance Profile (iGov) for OpenID Connect 1.0 - draft 3",
      "authors": [
        "M. Varley, P. Grassi"
      ],
      "date": "October 5 2018",
      "publisher": "OpenID foundation",
      "id": "igov.openid"
    },
    "iGOV.OAuth2": {
      "href": "https://openid.net/specs/openid-igov-oauth2-1_0.html",
      "title": "International Government Assurance Profile (iGov) for OAuth 2.0",
      "authors": [
        "J. Richer, M. Varley, P. Grassi"
      ],
      "date": "October 5 2018",
      "publisher": "OpenID foundation",
      "id": "igov.oauth2"
    },
    "OpenID.Discovery": {
      "href": "https://openid.net/specs/openid-connect-discovery-1_0.html",
      "title": "OpenID Connect Discovery 1.0",
      "authors": [
        "N. Sakimura, J. Bradley, M. Jones, E. Jay"
      ],
      "date": "November 8 2014",
      "publisher": "OpenID foundation"
    },
    "I-D.ietf-oauth-pop-architecture": {
      "href": "https://tools.ietf.org/html/draft-ietf-oauth-pop-architecture-08",
      "title": "OAuth 2.0 Proof-of-Possession (PoP) Security Architecture",
      "authors": [
        "P. Hunt, J. Richer, W. Mills, P. Mishra, H. Tschofenig"
      ],
      "date": "July 8, 2016",
      "publisher": "IETF"
    },
    "HEART.OAuth2": {
      "href": "https://openid.net/specs/openid-heart-oauth2-1_0.html",
      "title": "Health Relationship Trust Profile for OAuth 2.0",
      "authors": [
        "J. Richer"
      ],
      "date": "April 25, 2017",
      "publisher": "OpenID foundation"
    },
    "JWS.JWE.Algs": {
      "href": "https://www.iana.org/assignments/jose/jose.xhtml#web-signature-encryption-algorithms",
      "title": "IANA JSON Web Signatures and Encryption Algorithms registry",
      "authors": [
        "Jim Schaad, Jeff Hodges, Joe Hildebrand, Sean Turner"
      ],
      "date": "",
      "publisher": "IANA"
    },
    "BCP195": {
      "href": "https://tools.ietf.org/html/bcp195",
      "title": "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)",
      "authors": [
        "Y. Sheffer, R. Holz, P. Saint-Andre"
      ],
      "date": "May 2015",
      "publisher": "IETF"
    },
    "HAL": {
      "href": "http://stateless.co/hal_specification.html",
      "title": "HAL - Hypertext Application Language",
      "authors": [
        "Mike Kelly"
      ],
      "date": " 2013-09-18",
      "id": "hal"
    }
  },
  "publishISODate": "2019-02-13T00:00:00.000Z",
  "generatedSubtitle": "Consultatieversie 13 februari 2019"
}</script><meta name="description" content="Dit document beschrijft een API strategie voor de Nederlandse overheid."><script type="application/ld+json">{
  "@context": [
    "http://schema.org",
    {
      "@vocab": "http://schema.org/",
      "@language": "nl",
      "foaf": "http://xmlns.com/foaf/0.1/",
      "datePublished": {
        "@type": "http://www.w3.org/2001/XMLSchema#date"
      },
      "inLanguage": {
        "@language": null
      },
      "isBasedOn": {
        "@type": "@id"
      },
      "license": {
        "@type": "@id"
      }
    }
  ],
  "id": "https://docs.geostandaarden.nl/api/cv-hr-API-Strategie-20190213/",
  "type": [
    "TechArticle"
  ],
  "name": "API strategie voor de Nederlandse overheid",
  "inLanguage": "nl",
  "license": "https://creativecommons.org/licenses/by-nd/4.0/legalcode.nl",
  "datePublished": "2019-02-13",
  "copyrightHolder": {
    "name": "Geonovum",
    "url": "https://www.geonovum.nl/"
  },
  "discussionUrl": "https://github.com/geonovum/KP-APIs/issues/",
  "alternativeHeadline": "Consultatieversie",
  "description": "Dit document beschrijft een API strategie voor de Nederlandse overheid.",
  "editor": [
    {
      "type": "Person",
      "name": "Frank Terpstra",
      "worksFor": {
        "name": "Geonovum",
        "url": "http://www.geonovum.nl/"
      }
    },
    {
      "type": "Person",
      "name": "Jan van Gelder",
      "worksFor": {
        "name": "Geonovum",
        "url": "http://www.Geonovum.nl/"
      }
    }
  ],
  "contributor": [
    {
      "type": "Person",
      "name": "Lancelot Schellevis",
      "worksFor": {
        "name": "Forum Standaardisatie",
        "url": "http://www.forumstandaardisatie.nl/"
      }
    },
    {
      "type": "Person",
      "name": "Friso Penninga",
      "worksFor": {
        "name": "Geonovum",
        "url": "http://geonovum.nl/"
      }
    },
    {
      "type": "Person",
      "name": "Matthias Snoei",
      "worksFor": {
        "name": "Swis",
        "url": "http://swis.nl/"
      }
    },
    {
      "type": "Person",
      "name": "Jasper Roes",
      "worksFor": {
        "name": "Het Kadaster",
        "url": "http://www.kadaster.nl/"
      }
    },
    {
      "type": "Person",
      "name": "Emile van de Maas"
    }
  ],
  "citation": [
    {
      "id": "http://stateless.co/hal_specification.html",
      "type": "TechArticle",
      "name": "HAL - Hypertext Application Language",
      "url": "http://stateless.co/hal_specification.html"
    },
    {
      "id": "https://tools.ietf.org/html/rfc8142",
      "type": "TechArticle",
      "name": "GeoJSON Text Sequences",
      "url": "https://tools.ietf.org/html/rfc8142"
    },
    {
      "id": "https://tools.ietf.org/html/rfc6585",
      "type": "TechArticle",
      "name": "Additional HTTP Status Codes",
      "url": "https://tools.ietf.org/html/rfc6585"
    },
    {
      "id": "https://tools.ietf.org/html/rfc7807",
      "type": "TechArticle",
      "name": "Problem Details for HTTP APIs",
      "url": "https://tools.ietf.org/html/rfc7807"
    },
    {
      "id": "https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf",
      "type": "TechArticle",
      "name": "Expertadvies OAuth 2.0",
      "url": "https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf"
    },
    {
      "id": "https://openid.net/specs/openid-igov-oauth2-1_0.html",
      "type": "TechArticle",
      "name": "International Government Assurance Profile (iGov) for OAuth 2.0",
      "url": "https://openid.net/specs/openid-igov-oauth2-1_0.html"
    },
    {
      "id": "https://openid.net/specs/openid-igov-openid-connect-1_0.html",
      "type": "TechArticle",
      "name": "International Government Assurance Profile (iGov) for OpenID Connect 1.0 - draft 3",
      "url": "https://openid.net/specs/openid-igov-openid-connect-1_0.html"
    }
  ]
}</script></head>  
  <!-- HTML-Body ------------------------------------------------------------------------------- -->
  <body class="h-entry"><div class="head">
  <a href="https://www.geonovum.nl/" class="logo"><img id="Geonovum" alt="Geonovum" width="132" height="67" src="https://tools.geostandaarden.nl/respec/style/logos/Geonovum.svg"></a>
  <h1 class="title p-name" id="title">API strategie voor de Nederlandse overheid</h1>
  <h2 id="subtitle">Consultatieversie</h2>
  <h2>Geonovum Handreiking<br>
  Consultatieversie <time class="dt-published" datetime="2019-02-13">13 februari 2019</time></h2>
  <dl>
    <dt>Deze versie:</dt><dd><a class="u-url" href="https://docs.geostandaarden.nl/api/cv-hr-API-Strategie-20190213/">https://docs.geostandaarden.nl/api/cv-hr-API-Strategie-20190213/</a></dd><dt>Laatst gepubliceerde versie:</dt><dd><a href="https://docs.geostandaarden.nl/api/API-Strategie/">https://docs.geostandaarden.nl/api/API-Strategie/</a></dd>
    
    
    <dt>Laatste werkversie:</dt><dd><a href="https://geonovum.github.io/KP-APIs/">https://geonovum.github.io/KP-APIs/</a></dd>
    <dt>Redacteurs:</dt>
    <dd class="p-author h-card vcard"><span class="p-name fn">Frank Terpstra</span>, <a class="p-org org h-org h-card" href="http://www.geonovum.nl/">Geonovum</a></dd><dd class="p-author h-card vcard"><span class="p-name fn">Jan van Gelder</span>, <a class="p-org org h-org h-card" href="http://www.Geonovum.nl/">Geonovum</a></dd>
    <dt>Auteurs:</dt><dd class="p-author h-card vcard"><span class="p-name fn">Lancelot Schellevis</span>, <a class="p-org org h-org h-card" href="http://www.forumstandaardisatie.nl/">Forum Standaardisatie</a></dd><dd class="p-author h-card vcard"><span class="p-name fn">Friso Penninga</span>, <a class="p-org org h-org h-card" href="http://geonovum.nl/">Geonovum</a></dd><dd class="p-author h-card vcard"><span class="p-name fn">Matthias Snoei</span>, <a class="p-org org h-org h-card" href="http://swis.nl/">Swis</a></dd><dd class="p-author h-card vcard"><span class="p-name fn">Jasper Roes</span>, <a class="p-org org h-org h-card" href="http://www.kadaster.nl/">Het Kadaster</a></dd><dd class="p-author h-card vcard"><span class="p-name fn">Emile van de Maas</span></dd>
    <dt>Doe mee:</dt><dd>
      <a href="https://github.com/geonovum/KP-APIs/">GitHub geonovum/KP-APIs</a>
    </dd><dd>
      <a href="https://github.com/geonovum/KP-APIs/issues/">Dien een melding in</a>
    </dd><dd>
      <a href="https://github.com/geonovum/KP-APIs/commits/gh-pages">Revisiehistorie</a>
    </dd><dd>
      <a href="https://github.com/geonovum/KP-APIs/pulls/">Pull requests</a>
    </dd>
  </dl>
  
  
    <dl>
          <dt>Rechtenbeleid:</dt>
          <dd>
            <div class="copyright" style="margin: 0.25em 0;">
              <abbr title="Creative Commons Naamsvermelding-GeenAfgeleideWerken 4.0 Internationaal">
              <a href="https://creativecommons.org/licenses/by-nd/4.0/legalcode.nl"><img src="https://tools.geostandaarden.nl/respec/style/logos/CC-Licentie.svg" width="115" height="40" alt="Creative Commons Naamsvermelding-GeenAfgeleideWerken 4.0 Internationaal"></a>
            </abbr>
              <div style="display:inline-block; vertical-align:top">
                <p style="font-size: small;">Creative Commons Naamsvermelding-GeenAfgeleideWerken 4.0 Internationaal<br>(CC-BY-ND)</p>
              </div>
            </div>
          </dd>
        </dl>
  <hr title="Separator for header">
</div>
    <section id="abstract" data-format="markdown" aria-busy="false" class="introductory"><h2>Samenvatting</h2><p>Dit document beschrijft een API strategie voor de Nederlandse overheid.</p></section>        
    <section id="sotd" class="introductory"><h2>Status van dit document</h2><p>
    <em>Deze paragraaf beschrijft de status van dit document ten tijde van publicatie. Het is mogelijk dat er actuelere versies van dit document bestaan. Een lijst van Geonovum publicaties en de laatste gepubliceerde versie van dit document zijn te vinden op <a href="https://www.geonovum.nl/geo-standaarden/alle-standaarden">https://www.geonovum.nl/geo-standaarden/alle-standaarden</a>.</em>
  </p><p>



    Dit is een door de werkgroep goedgekeurde consultatieversie. Commentaar over dit document kan gestuurd worden naar
    <a href="mailto:geo-standaarden@geonovum.nl">
        geo-standaarden@geonovum.nl</a>.






</p><p></p></section><nav id="toc"><h2 class="introductory" id="inhoudsopgave">Inhoudsopgave</h2><ol class="toc"><li class="tocline"><a href="#inleiding" class="tocxref"><span class="secno">1. </span>Inleiding</a><ol class="toc"><li class="tocline"><a href="#status-van-de-api-strategie" class="tocxref"><span class="secno">1.1 </span>Status van de API strategie</a></li><li class="tocline"><a href="#leeswijzer" class="tocxref"><span class="secno">1.2 </span>Leeswijzer</a></li></ol></li><li class="tocline"><a href="#communicatie-en-beleid" class="tocxref"><span class="secno">2. </span>Communicatie en Beleid</a><ol class="toc"><li class="tocline"><a href="#application-programming-interfaces-wat-zijn-het-en-waarom-hierop-in-te-zetten" class="tocxref"><span class="secno">2.1 </span>Application Programming Interfaces, wat zijn het en waarom hierop in te zetten</a></li><li class="tocline"><a href="#de-rol-van-api-s-in-de-platform-economie" class="tocxref"><span class="secno">2.2 </span>De rol van API’s in de platform economie</a></li><li class="tocline"><a href="#wat-is-een-api" class="tocxref"><span class="secno">2.3 </span>Wat is een API</a></li><li class="tocline"><a href="#achtergrond" class="tocxref"><span class="secno">2.4 </span>Achtergrond</a></li><li class="tocline"><a href="#belang-voor-de-overheid" class="tocxref"><span class="secno">2.5 </span>Belang voor de overheid</a></li><li class="tocline"><a href="#developer-first" class="tocxref"><span class="secno">2.6 </span>Developer First</a></li><li class="tocline"><a href="#gegevens-bevragen-bij-de-bron" class="tocxref"><span class="secno">2.7 </span>Gegevens bevragen bij de bron</a></li><li class="tocline"><a href="#wat-kan-je-zelf-doen" class="tocxref"><span class="secno">2.8 </span>Wat kan je zelf doen?</a></li><li class="tocline"><a href="#enkele-voorbeelden" class="tocxref"><span class="secno">2.9 </span>Enkele voorbeelden</a></li></ol></li><li class="tocline"><a href="#gebruikerswensen" class="tocxref"><span class="secno">3. </span><!-- Hoofdstuk 3 -->Gebruikerswensen</a><ol class="toc"><li class="tocline"><a href="#inleiding-0" class="tocxref"><span class="secno">3.1 </span><!-- 3.1 -->Inleiding</a></li><li class="tocline"><a href="#overkoepelende-aanbeveling-biedt-een-goede-developer-experience-dx" class="tocxref"><span class="secno">3.2 </span><!-- 3.2 -->Overkoepelende aanbeveling: biedt een goede ‘developer experience (DX)’</a></li><li class="tocline"><a href="#gebruik-van-onboarding-tot-in-productie" class="tocxref"><span class="secno">3.3 </span><!-- 3.3 -->Gebruik: van ‘onboarding’ tot ‘in productie’</a></li><li class="tocline"><a href="#specifieke-aanbevelingen-voor-een-goede-dx" class="tocxref"><span class="secno">3.4 </span><!-- 3.4 -->Specifieke aanbevelingen voor een goede DX</a><ol class="toc"><li class="tocline"><a href="#aanbeveling-1-werk-met-meerdere-persona-s" class="tocxref"><span class="secno">3.4.1 </span>Aanbeveling 1: werk met (meerdere) persona’s</a></li><li class="tocline"><a href="#aanbeveling-2-analyseer-welke-api-s-je-aan-moet-bieden-welke-informatievragen-wil-je-beantwoorden" class="tocxref"><span class="secno">3.4.2 </span>Aanbeveling 2: analyseer welke API’s je aan moet bieden: welke informatievragen wil je beantwoorden?</a></li><li class="tocline"><a href="#aanbeveling-3-documenteer-gericht-op-de-gebruiker-biedt-snel-inzicht-en-gebruik-oas-3" class="tocxref"><span class="secno">3.4.3 </span>Aanbeveling 3: documenteer gericht op de gebruiker, biedt snel inzicht en gebruik OAS 3</a></li><li class="tocline"><a href="#aanbeveling-4-minimaliseer-time-to-first-call-met-een-goede-sandbox" class="tocxref"><span class="secno">3.4.4 </span>Aanbeveling 4: minimaliseer Time to First Call met een goede Sandbox</a></li><li class="tocline"><a href="#aanbeveling-5-borg-ontwikkeling-en-beheer" class="tocxref"><span class="secno">3.4.5 </span>Aanbeveling 5: borg ontwikkeling en beheer</a><ol class="toc"><li class="tocline"><a href="#aanbeveling-5-1-stel-een-sla-op" class="tocxref"><span class="secno">3.4.5.1 </span>Aanbeveling 5.1 Stel een SLA op</a></li><li class="tocline"><a href="#aanbeveling-5-2-biedt-een-roadmap-aan" class="tocxref"><span class="secno">3.4.5.2 </span>Aanbeveling 5.2 Biedt een roadmap aan</a></li><li class="tocline"><a href="#aanbeveling-5-3-doe-aan-versiebeheer" class="tocxref"><span class="secno">3.4.5.3 </span>Aanbeveling 5.3 Doe aan versiebeheer</a></li><li class="tocline"><a href="#aanbeveling-5-4-sluit-de-feedback-loop-betrek-de-community" class="tocxref"><span class="secno">3.4.5.4 </span>Aanbeveling 5.4 Sluit de feedback-loop: betrek de community</a></li></ol></li><li class="tocline"><a href="#aanbeveling-6-maak-duidelijk-wat-je-data-betekent" class="tocxref"><span class="secno">3.4.6 </span>Aanbeveling 6: maak duidelijk wat je data betekent</a></li><li class="tocline"><a href="#aanbeveling-7-wees-vindbaar-voor-developers" class="tocxref"><span class="secno">3.4.7 </span>Aanbeveling 7: wees vindbaar voor developers</a></li><li class="tocline"><a href="#aanbeveling-8-niet-alles-is-een-api" class="tocxref"><span class="secno">3.4.8 </span>Aanbeveling 8: niet alles is een API!</a></li></ol></li></ol></li><li class="tocline"><a href="#api-designrules-ontwerpregels" class="tocxref"><span class="secno">4. </span>API designrules (ontwerpregels)</a><ol class="toc"><li class="tocline"><a href="#inleiding-1" class="tocxref"><span class="secno">4.1 </span>Inleiding</a></li><li class="tocline"><a href="#restful-principes" class="tocxref"><span class="secno">4.2 </span>RESTful principes</a><ol class="toc"><li class="tocline"><a href="#wat-zijn-resources" class="tocxref"><span class="secno">4.2.1 </span>Wat zijn resources?</a></li><li class="tocline"><a href="#welke-taal" class="tocxref"><span class="secno">4.2.2 </span>Welke taal?</a></li><li class="tocline"><a href="#naamgeving-eindpunten-in-enkelvoud-of-meervoud" class="tocxref"><span class="secno">4.2.3 </span>Naamgeving eindpunten in enkelvoud of meervoud?</a></li><li class="tocline"><a href="#hoe-omgaan-met-relaties" class="tocxref"><span class="secno">4.2.4 </span>Hoe omgaan met relaties?</a></li><li class="tocline"><a href="#automatische-laden-van-gelinkte-resources" class="tocxref"><span class="secno">4.2.5 </span>Automatische laden van gelinkte resources</a></li><li class="tocline"><a href="#aanpasbare-representatie" class="tocxref"><span class="secno">4.2.6 </span>Aanpasbare representatie</a></li><li class="tocline"><a href="#hoe-om-te-gaan-met-acties-die-niet-passen-in-het-crud-model" class="tocxref"><span class="secno">4.2.7 </span>Hoe om te gaan met acties die niet passen in het CRUD model?</a></li></ol></li><li class="tocline"><a href="#api-beveiliging" class="tocxref"><span class="secno">4.3 </span>API Beveiliging</a><ol class="toc"><li class="tocline"><a href="#authenticatie-en-autorisatie" class="tocxref"><span class="secno">4.3.1 </span>Authenticatie en autorisatie</a><ol class="toc"><li class="tocline"><a href="#autorisatiefouten" class="tocxref"><span class="secno">4.3.1.1 </span>Autorisatiefouten</a></li><li class="tocline"><a href="#openbare-identifiers" class="tocxref"><span class="secno">4.3.1.2 </span>Openbare identifiers</a></li><li class="tocline"><a href="#blootstellen-api-key" class="tocxref"><span class="secno">4.3.1.3 </span>Blootstellen API-key</a></li><li class="tocline"><a href="#cors-policy" class="tocxref"><span class="secno">4.3.1.4 </span>CORS-policy</a></li></ol></li></ol></li><li class="tocline"><a href="#documentatie" class="tocxref"><span class="secno">4.4 </span>Documentatie</a><ol class="toc"><li class="tocline"><a href="#best-practice-s" class="tocxref"><span class="secno">4.4.1 </span>Best practice(s)</a></li></ol></li><li class="tocline"><a href="#versionering" class="tocxref"><span class="secno">4.5 </span>Versionering</a><ol class="toc"><li class="tocline"><a href="#uitfaseren-van-een-major-api-versie" class="tocxref"><span class="secno">4.5.1 </span>Uitfaseren van een major API versie</a></li><li class="tocline"><a href="#de-warning-response-header" class="tocxref"><span class="secno">4.5.2 </span>De Warning response header</a></li></ol></li><li class="tocline"><a href="#json" class="tocxref"><span class="secno">4.6 </span>JSON</a><ol class="toc"><li class="tocline"><a href="#veldnamen-in-snake_case-camelcase-uppercamelcase-of-kebab-case" class="tocxref"><span class="secno">4.6.1 </span>Veldnamen in <code>snake_case</code>, <code>camelCase</code>, <code>UpperCamelCase</code> of <code>kebab-case</code>?</a></li><li class="tocline"><a href="#pretty-print" class="tocxref"><span class="secno">4.6.2 </span>Pretty print</a></li><li class="tocline"><a href="#gebruik-geen-envelop" class="tocxref"><span class="secno">4.6.3 </span>Gebruik geen envelop</a></li><li class="tocline"><a href="#json-gecodeerde-post-put-en-patch-payloads" class="tocxref"><span class="secno">4.6.4 </span>JSON gecodeerde <code>POST</code>, <code>PUT</code> en <code>PATCH</code> payloads</a></li></ol></li><li class="tocline"><a href="#filteren-sorteren-en-zoeken" class="tocxref"><span class="secno">4.7 </span>Filteren, sorteren en zoeken</a><ol class="toc"><li class="tocline"><a href="#filteren" class="tocxref"><span class="secno">4.7.1 </span>Filteren</a></li><li class="tocline"><a href="#sorteren" class="tocxref"><span class="secno">4.7.2 </span>Sorteren</a></li><li class="tocline"><a href="#zoeken" class="tocxref"><span class="secno">4.7.3 </span>Zoeken</a></li><li class="tocline"><a href="#wildcards" class="tocxref"><span class="secno">4.7.4 </span>Wildcards</a></li><li class="tocline"><a href="#aliassen-voor-terugkerende-queries" class="tocxref"><span class="secno">4.7.5 </span>Aliassen voor terugkerende queries</a></li></ol></li><li class="tocline"><a href="#tijdreizen" class="tocxref"><span class="secno">4.8 </span>Tijdreizen</a><ol class="toc"><li class="tocline"><a href="#mate-van-ondersteuning" class="tocxref"><span class="secno">4.8.1 </span>Mate van ondersteuning</a></li><li class="tocline"><a href="#robuustheid" class="tocxref"><span class="secno">4.8.2 </span>Robuustheid</a></li></ol></li><li class="tocline"><a href="#geo-ondersteuning" class="tocxref"><span class="secno">4.9 </span>GEO-ondersteuning</a><ol class="toc"><li class="tocline"><a href="#resultaat-response" class="tocxref"><span class="secno">4.9.1 </span>Resultaat (response)</a></li><li class="tocline"><a href="#aanroep-requests" class="tocxref"><span class="secno">4.9.2 </span>Aanroep (requests)</a></li><li class="tocline"><a href="#crs-negotiation" class="tocxref"><span class="secno">4.9.3 </span>CRS-negotiation</a></li><li class="tocline"><a href="#crs-transformatie" class="tocxref"><span class="secno">4.9.4 </span>CRS-transformatie</a></li></ol></li><li class="tocline"><a href="#paginering" class="tocxref"><span class="secno">4.10 </span>Paginering</a></li><li class="tocline"><a href="#caching" class="tocxref"><span class="secno">4.11 </span>Caching</a><ol class="toc"><li class="tocline"><a href="#etag" class="tocxref"><span class="secno">4.11.1 </span>ETag</a></li><li class="tocline"><a href="#last-modified" class="tocxref"><span class="secno">4.11.2 </span>Last-Modified</a></li></ol></li><li class="tocline"><a href="#begrenzingen" class="tocxref"><span class="secno">4.12 </span>Begrenzingen</a></li><li class="tocline"><a href="#foutafhandeling" class="tocxref"><span class="secno">4.13 </span>Foutafhandeling</a><ol class="toc"><li class="tocline"><a href="#http-statuscodes" class="tocxref"><span class="secno">4.13.1 </span>HTTP statuscodes</a></li></ol></li></ol></li><li class="tocline"><a href="#beveiliging" class="tocxref"><span class="secno">5. </span>Beveiliging</a><ol class="toc"><li class="tocline"><a href="#nederlands-profiel-oauth" class="tocxref"><span class="secno">5.1 </span>Nederlands profiel OAuth</a><ol class="toc"><li class="tocline"><a href="#expert-advies-oauth-forum-standaardisatie" class="tocxref"><span class="secno">5.1.1 </span>Expert advies OAuth forum standaardisatie</a></li><li class="tocline"><a href="#werkingsgebied-standaard" class="tocxref"><span class="secno">5.1.2 </span>Werkingsgebied standaard</a></li><li class="tocline"><a href="#toepassingsgebied-standaard" class="tocxref"><span class="secno">5.1.3 </span>Toepassingsgebied standaard</a></li><li class="tocline"><a href="#openid-connect-buiten-scope" class="tocxref"><span class="secno">5.1.4 </span>OpenID connect buiten scope</a></li><li class="tocline"><a href="#aansluiting-op-internationale-standaard-igov" class="tocxref"><span class="secno">5.1.5 </span>Aansluiting op internationale standaard iGov</a></li></ol></li></ol></li><li class="tocline"><a href="#bijlagen" class="tocxref"><span class="secno">6. </span>Bijlagen</a><ol class="toc"><li class="tocline"><a href="#api-principes" class="tocxref"><span class="secno">6.1 </span><span name="api-principes" class="formerLink"></span>API Principes</a><ol class="toc"><li class="tocline"><a href="#api-01-api-s-garanderen-dat-operaties-veilig-en-of-idempotent-zijn" class="tocxref"><span class="secno">6.1.1 </span><span name="api-01" class="formerLink"></span>API-01: API's garanderen dat operaties "Veilig" en/of "Idempotent" zijn</a></li><li class="tocline"><a href="#api-02-toestandsinformatie-wordt-nooit-op-de-server-opgeslagen" class="tocxref"><span class="secno">6.1.2 </span><span name="api-02" class="formerLink"></span>API-02: Toestandsinformatie wordt nooit op de server opgeslagen</a></li><li class="tocline"><a href="#api-03-alleen-standaard-http-operaties-worden-toegepast" class="tocxref"><span class="secno">6.1.3 </span><span name="api-03" class="formerLink"></span>API-03: Alleen standaard HTTP-operaties worden toegepast</a></li><li class="tocline"><a href="#api-04-definitie-van-het-koppelvlak-is-in-het-nederlands-tenzij-er-sprake-is-van-een-officieel-engelstalig-begrippenkader" class="tocxref"><span class="secno">6.1.4 </span><span name="api-04" class="formerLink"></span>API-04: Definitie van het koppelvlak is in het Nederlands tenzij er sprake is van een officieel Engelstalig begrippenkader</a></li><li class="tocline"><a href="#api-05-resource-namen-zijn-zelfstandige-naamwoorden-in-het-meervoud" class="tocxref"><span class="secno">6.1.5 </span><span name="api-05" class="formerLink"></span>API-05: Resource namen zijn zelfstandige naamwoorden in het meervoud</a></li><li class="tocline"><a href="#api-06-relaties-van-geneste-resources-worden-bij-voorkeur-binnen-het-eindpunt-gecreeerd" class="tocxref"><span class="secno">6.1.6 </span><span name="api-06" class="formerLink"></span>API-06: Relaties van geneste resources worden bij voorkeur binnen het eindpunt gecreëerd</a></li><li class="tocline"><a href="#api-07-resources-ondersteunen-bij-voorkeur-lazy-en-eager-laden-van-relaties" class="tocxref"><span class="secno">6.1.7 </span><span name="api-07" class="formerLink"></span>API-07: Resources ondersteunen bij voorkeur "lazy" en "eager" laden van relaties</a></li><li class="tocline"><a href="#api-08-gelinkte-resources-worden-expliciet-en-selectief-mee-geladen" class="tocxref"><span class="secno">6.1.8 </span><span name="api-08" class="formerLink"></span>API-08: Gelinkte resources worden expliciet en selectief mee-geladen</a></li><li class="tocline"><a href="#api-09-indien-representatie-op-maat-wordt-ondersteund-dan-conform-dit-principe" class="tocxref"><span class="secno">6.1.9 </span><span name="api-09" class="formerLink"></span>API-09: Indien representatie op maat wordt ondersteund, dan conform dit principe.</a></li><li class="tocline"><a href="#api-10-acties-die-niet-passen-in-het-crud-model-worden-een-sub-resource" class="tocxref"><span class="secno">6.1.10 </span><span name="api-10" class="formerLink"></span>API-10: Acties die niet passen in het CRUD model worden een sub-resource</a></li><li class="tocline"><a href="#api-11-de-verbinding-is-altijd-versleuteld-met-minimaal-tls-v1-2" class="tocxref"><span class="secno">6.1.11 </span><span name="api-11" class="formerLink"></span>API-11: De verbinding is ALTIJD versleuteld met minimaal TLS V1.2</a></li><li class="tocline"><a href="#api-12-api-s-zijn-bij-voorkeur-alleen-bruikbaar-met-behulp-van-een-api-key" class="tocxref"><span class="secno">6.1.12 </span><span name="api-12" class="formerLink"></span>API-12: API's zijn bij voorkeur alleen bruikbaar met behulp van een API-key</a></li><li class="tocline"><a href="#api-13-tokens-worden-niet-gebruikt-in-query-parameters" class="tocxref"><span class="secno">6.1.13 </span><span name="api-13" class="formerLink"></span>API-13: Tokens worden niet gebruikt in query parameters</a></li><li class="tocline"><a href="#api-14-autorisatie-is-waar-nodig-gebaseerd-op-oauth-2-0" class="tocxref"><span class="secno">6.1.14 </span><span name="api-14" class="formerLink"></span>API-14: Autorisatie is waar nodig gebaseerd op OAuth 2.0</a></li><li class="tocline"><a href="#api-15-authenticatie-voor-api-s-met-toegangsbeperking-of-doelbinding-is-gebaseerd-op-pkioverheid" class="tocxref"><span class="secno">6.1.15 </span><span name="api-15" class="formerLink"></span>API-15: Authenticatie voor API's met toegangsbeperking of doelbinding is gebaseerd op PKIoverheid</a></li><li class="tocline"><a href="#api-16-documentatie-is-gebaseerd-op-oas-3-0-of-hoger" class="tocxref"><span class="secno">6.1.16 </span><span name="api-16" class="formerLink"></span>API-16: Documentatie is gebaseerd op OAS 3.0 of hoger</a></li><li class="tocline"><a href="#api-17-documentatie-is-in-het-nederlands-tenzij-er-sprake-is-van-bestaande-documentatie-in-het-engels-of-er-sprake-is-van-een-officieel-engelstalig-begrippenkader" class="tocxref"><span class="secno">6.1.17 </span><span name="api-17" class="formerLink"></span>API-17: Documentatie is in het Nederlands tenzij er sprake is van bestaande documentatie in het Engels of er sprake is van een officieel Engelstalig begrippenkader</a></li><li class="tocline"><a href="#api-18-wijzigingen-worden-gepubliceerd-met-een-uitfaseringschema" class="tocxref"><span class="secno">6.1.18 </span><span name="api-18" class="formerLink"></span>API-18: Wijzigingen worden gepubliceerd met een uitfaseringschema</a></li><li class="tocline"><a href="#api-19-de-overgangsperiode-bij-een-nieuwe-api-versie-is-maximaal-1-jaar" class="tocxref"><span class="secno">6.1.19 </span><span name="api-19" class="formerLink"></span>API-19: De overgangsperiode bij een nieuwe API versie is maximaal 1 jaar</a></li><li class="tocline"><a href="#api-20-alleen-het-major-versienummer-is-onderdeel-van-de-uri" class="tocxref"><span class="secno">6.1.20 </span><span name="api-20" class="formerLink"></span>API-20: Alleen het major versienummer is onderdeel van de URI</a></li><li class="tocline"><a href="#api-21-gebruikers-van-een-deprecated-api-worden-actief-gewaarschuwd" class="tocxref"><span class="secno">6.1.21 </span><span name="api-21" class="formerLink"></span>API-21 Gebruikers van een ‘deprecated' API worden actief gewaarschuwd</a></li><li class="tocline"><a href="#api-22-json-first-api-s-ontvangen-en-versturen-json" class="tocxref"><span class="secno">6.1.22 </span><span name="api-22" class="formerLink"></span>API-22: JSON first - API's ontvangen en versturen JSON</a></li><li class="tocline"><a href="#api-23-api-s-zijn-optioneel-voorzien-van-een-json-schema" class="tocxref"><span class="secno">6.1.23 </span><span name="api-23" class="formerLink"></span>API-23: API's zijn optioneel voorzien van een JSON Schema</a></li><li class="tocline"><a href="#api-24-content-negotiation-wordt-volledig-ondersteund" class="tocxref"><span class="secno">6.1.24 </span><span name="api-24" class="formerLink"></span>API-24: Content negotiation wordt volledig ondersteund</a></li><li class="tocline"><a href="#api-25-api-s-controleren-dat-de-content-type-header-is-ingesteld" class="tocxref"><span class="secno">6.1.25 </span><span name="api-25" class="formerLink"></span>API-25: API's controleren dat de Content-Type header is ingesteld</a></li><li class="tocline"><a href="#api-26-woorden-in-veldnamen-zijn-gedefinieerd-in-camelcase" class="tocxref"><span class="secno">6.1.26 </span><span name="api-26" class="formerLink"></span>API-26: Woorden in veldnamen zijn gedefinieerd in <code>camelCase</code></a></li><li class="tocline"><a href="#api-27-pretty-print-is-standaard-uitgeschakeld" class="tocxref"><span class="secno">6.1.27 </span><span name="api-27" class="formerLink"></span>API-27: Pretty print is standaard uitgeschakeld</a></li><li class="tocline"><a href="#api-28-een-json-response-heeft-geen-omhullende-envelop" class="tocxref"><span class="secno">6.1.28 </span><span name="api-28" class="formerLink"></span>API-28: Een JSON-response heeft geen omhullende envelop</a></li><li class="tocline"><a href="#api-29-api-s-ondersteunen-json-gecodeerde-post-put-en-patch-payloads" class="tocxref"><span class="secno">6.1.29 </span><span name="api-29" class="formerLink"></span>API-29: API's ondersteunen JSON gecodeerde POST, PUT en PATCH payloads</a></li><li class="tocline"><a href="#api-30-filter-query-parameters-zijn-gelijk-aan-de-velden-waarop-gefilterd-kan-worden" class="tocxref"><span class="secno">6.1.30 </span><span name="api-30" class="formerLink"></span>API-30: Filter query-parameters zijn gelijk aan de velden waarop gefilterd kan worden</a></li><li class="tocline"><a href="#api-31-voor-sorteren-wordt-de-query-parameter-sorteer-gebruikt" class="tocxref"><span class="secno">6.1.31 </span><span name="api-31" class="formerLink"></span>API-31: Voor sorteren wordt de query-parameter sorteer gebruikt</a></li><li class="tocline"><a href="#api-32-voor-vrije-tekst-zoeken-wordt-een-query-parameter-zoek-gebruikt" class="tocxref"><span class="secno">6.1.32 </span><span name="api-32" class="formerLink"></span>API-32: Voor vrije-tekst zoeken wordt een query-parameter zoek gebruikt</a></li><li class="tocline"><a href="#api-33-api-s-die-vrije-tekst-zoeken-ondersteunen-kunnen-overweg-met-twee-soorten-wildcard-karakters-en" class="tocxref"><span class="secno">6.1.33 </span><span name="api-33" class="formerLink"></span>API-33: API's die vrije-tekst zoeken ondersteunen kunnen overweg met twee soorten wildcard karakters: <code>*</code> en <code>?</code></a></li><li class="tocline"><a href="#api-34-geo-api-s-ontvangen-en-versturen-bij-voorkeur-geojson" class="tocxref"><span class="secno">6.1.34 </span><span name="api-34" class="formerLink"></span>API-34: GEO API's ontvangen en versturen bij voorkeur GeoJSON</a></li><li class="tocline"><a href="#api-35-geojson-is-onderdeel-van-de-embedded-resource-in-de-json-response" class="tocxref"><span class="secno">6.1.35 </span><span name="api-35" class="formerLink"></span>API-35: GeoJSON is onderdeel van de embedded resource in de JSON response</a></li><li class="tocline"><a href="#api-36-voor-geo-queries-is-een-post-end-point-beschikbaar" class="tocxref"><span class="secno">6.1.36 </span><span name="api-36" class="formerLink"></span>API-36: Voor GEO queries is een POST end-point beschikbaar</a></li><li class="tocline"><a href="#api-37-post-end-points-zijn-uitbreidbaar-voor-gecombineerde-vragen" class="tocxref"><span class="secno">6.1.37 </span><span name="api-37" class="formerLink"></span>API-37: POST end-points zijn uitbreidbaar voor gecombineerde vragen</a></li><li class="tocline"><a href="#api-38-resultaten-van-een-globale-geometrische-zoekvraag-worden-in-de-relevante-geometrische-context-geplaatst" class="tocxref"><span class="secno">6.1.38 </span><span name="api-38" class="formerLink"></span>API-38: Resultaten van een globale geometrische zoekvraag worden in de relevante geometrische context geplaatst</a></li><li class="tocline"><a href="#api-39-het-voorkeur-coordinatenstelsels-crs-is-etrs89-maar-het-crs-wordt-niet-impliciet-geselecteerd" class="tocxref"><span class="secno">6.1.39 </span><span name="api-39" class="formerLink"></span>API-39: Het voorkeur-coördinatenstelsels (CRS) is ETRS89, maar het CRS wordt niet impliciet geselecteerd</a></li><li class="tocline"><a href="#api-40-het-coordinatenstelsel-crs-van-de-vraag-en-het-antwoord-wordt-in-de-header-meegestuurd" class="tocxref"><span class="secno">6.1.40 </span><span name="api-40" class="formerLink"></span>API-40: Het coördinatenstelsel (CRS) van de vraag en het antwoord wordt in de header meegestuurd</a></li><li class="tocline"><a href="#api-41-het-gewenste-coordinatenstelsel-wordt-op-basis-van-content-negotiation-overeengekomen" class="tocxref"><span class="secno">6.1.41 </span><span name="api-41" class="formerLink"></span>API-41: Het gewenste coördinatenstelsel wordt op basis van content negotiation overeengekomen</a></li><li class="tocline"><a href="#api-42-paginering-wordt-gerealiseerd-op-basis-van-json-hal-bij-media-type-application-hal-json" class="tocxref"><span class="secno">6.1.42 </span><span name="api-42" class="formerLink"></span>API-42: Paginering wordt gerealiseerd op basis van JSON+HAL bij media type: application/hal+json</a></li><li class="tocline"><a href="#api-43-waar-relevant-wordt-caching-toegepast" class="tocxref"><span class="secno">6.1.43 </span><span name="api-43" class="formerLink"></span>API-43: Waar relevant wordt caching toegepast</a></li><li class="tocline"><a href="#api-44-beperken-van-het-aantal-verzoeken-per-tijdsperiode-wordt-aangeraden" class="tocxref"><span class="secno">6.1.44 </span><span name="api-44" class="formerLink"></span>API-44: Beperken van het aantal verzoeken per tijdsperiode wordt aangeraden</a></li><li class="tocline"><a href="#api-45-begrenzingen-worden-proactief-gemeld" class="tocxref"><span class="secno">6.1.45 </span><span name="api-45" class="formerLink"></span>API-45: Begrenzingen worden proactief gemeld</a></li><li class="tocline"><a href="#api-46-foutafhandeling-is-gestandaardiseerd" class="tocxref"><span class="secno">6.1.46 </span><span name="api-46" class="formerLink"></span>API-46: Foutafhandeling is gestandaardiseerd</a></li><li class="tocline"><a href="#api-47-api-s-passen-de-verplichte-http-statuscodes-toe" class="tocxref"><span class="secno">6.1.47 </span><span name="api-47" class="formerLink"></span>API-47: API's passen de verplichte HTTP-statuscodes toe</a></li><li class="tocline"><a href="#api-48-api-endpoints-mogen-geen-trailing-slashes-bevatten" class="tocxref"><span class="secno">6.1.48 </span><span name="api-48" class="formerLink"></span>API-48: API-endpoints mogen géén trailing slashes bevatten</a></li><li class="tocline"><a href="#api-49-gebruik-publieke-api-key" class="tocxref"><span class="secno">6.1.49 </span><span name="api-49" class="formerLink"></span>API-49: Gebruik "publieke" API-Key</a></li><li class="tocline"><a href="#api-50-controleer-toegang-en-gebruik-cors-header" class="tocxref"><span class="secno">6.1.50 </span><span name="api-50" class="formerLink"></span>API-50: Controleer toegang en gebruik CORS-header</a></li><li class="tocline"><a href="#api-51-oas-via-basis-uri-beschikbaar-in-json-formaat" class="tocxref"><span class="secno">6.1.51 </span><span name="api-51" class="formerLink"></span>API-51: OAS via basis-URI beschikbaar in JSON-formaat</a></li></ol></li><li class="tocline"><a href="#architectuur" class="tocxref"><span class="secno">6.2 </span>Architectuur</a><ol class="toc"><li class="tocline"><a href="#inleiding-2" class="tocxref"><span class="secno">6.2.1 </span>Inleiding</a></li><li class="tocline"><a href="#diensten-toegang-api-management" class="tocxref"><span class="secno">6.2.2 </span>Diensten toegang &amp; API management</a></li><li class="tocline"><a href="#beveiliging-0" class="tocxref"><span class="secno">6.2.3 </span>Beveiliging</a></li><li class="tocline"><a href="#autorisatie" class="tocxref"><span class="secno">6.2.4 </span>Autorisatie</a></li><li class="tocline"><a href="#semantiek" class="tocxref"><span class="secno">6.2.5 </span>Semantiek</a></li><li class="tocline"><a href="#metadata" class="tocxref"><span class="secno">6.2.6 </span>Metadata</a></li><li class="tocline"><a href="#interoperabiliteit" class="tocxref"><span class="secno">6.2.7 </span>Interoperabiliteit</a></li><li class="tocline"><a href="#patronen-0" class="tocxref"><span class="secno">6.2.8 </span><!-- 6.3.3 --> Patronen</a><ol class="toc"><li class="tocline"><a href="#herbruikbaarheid" class="tocxref"><span class="secno">6.2.8.1 </span>Herbruikbaarheid</a></li><li class="tocline"><a href="#patroon-bijhouden" class="tocxref"><span class="secno">6.2.8.2 </span>Patroon ‘Bijhouden’</a></li><li class="tocline"><a href="#patroon-afnemen" class="tocxref"><span class="secno">6.2.8.3 </span>Patroon ‘Afnemen’</a></li><li class="tocline"><a href="#patroon-terugmelden" class="tocxref"><span class="secno">6.2.8.4 </span>Patroon ‘Terugmelden’</a></li></ol></li><li class="tocline"><a href="#componenten" class="tocxref"><span class="secno">6.2.9 </span>Componenten</a></li><li class="tocline"><a href="#begrippen" class="tocxref"><span class="secno">6.2.10 </span>Begrippen</a></li><li class="tocline"><a href="#standaarden" class="tocxref"><span class="secno">6.2.11 </span>Standaarden</a></li><li class="tocline"><a href="#use-cases" class="tocxref"><span class="secno">6.2.12 </span>Use cases</a></li><li class="tocline"><a href="#architectuur-bijlagen" class="tocxref"><span class="secno">6.2.13 </span>Architectuur bijlagen</a></li></ol></li></ol></li><li class="tocline"><a href="#references" class="tocxref"><span class="secno">A. </span>Referenties</a><ol class="toc"><li class="tocline"><a href="#normatieve-referenties" class="tocxref"><span class="secno">A.1 </span>Normatieve referenties</a></li></ol></li></ol></nav>  
    <!-- vanaf hier per hoofdstuk een sectie of een div in het document ------------------------ -->
    <!-- Secties komen in de inhoudsopgave div's niet ------------------------------------------ -->
    <!-- Secties hebben verplicht <h2> tags, div's niet ---------------------------------------- -->
    <section data-format="markdown" aria-busy="false" id="inleiding"><!--OddPage--><h2 id="x1-inleiding"><span class="secno">1. </span>Inleiding</h2><p>Dit hoofdstuk geeft een inleiding op de Nederlandse API strategie</p><section id="status-van-de-api-strategie"><h3 id="x1-1-status-van-de-api-strategie"><span class="secno">1.1 </span>Status van de API strategie</h3></section><section id="leeswijzer"><h3 id="x1-2-leeswijzer"><span class="secno">1.2 </span>Leeswijzer</h3><p>Dit document bevat twee delen, waarbij het eerste deel "niet-technisch" en het tweede deel "technisch" van aard is.
In het eerste deel zitten de hoofdstukken <a href="#communicatie-en-beleid">Communicatie en Beleid</a> en <a href="#gebruikerswensen">Gebruikerswensen</a>.</p><p>Het tweede deel bevat de hoofdstukken <a href="#api-designrules-ontwerpregels">API designrules</a>, <a href="#beveiliging">Beveiliging</a> en <a href="#architectuur">Architectuur</a>, waarin een technische uitwerking van de eerste twee hoofdstukken staat.  </p></section></section>
    <section data-format="markdown" aria-busy="false" id="communicatie-en-beleid"><!--OddPage--><h2 id="x2-communicatie-en-beleid"><span class="secno">2. </span>Communicatie en Beleid</h2><blockquote>
<p><em>Dit hoofdstuk is een Management samenvatting voor managers van overheden en partijen die met de overheid te maken hebben.</em>
<em>Dit hoofdstuk beschrijft:</em><br><em>- waarom wil je API's gebruiken.</em><br><em>- Hoe relateert het gebruik van API's aan de maatschappelijke discussie.</em><br><em>- Wat is de uitwerking voor inclusiviteit regie op gegevens veiligheid.</em><br><em>- Uitgelegd en verduidelijkt met voorbeelden</em>  </p>
</blockquote><section id="application-programming-interfaces-wat-zijn-het-en-waarom-hierop-in-te-zetten"><h3 id="x2-1-application-programming-interfaces-wat-zijn-het-en-waarom-hierop-in-te-zetten"><span class="secno">2.1 </span>Application Programming Interfaces, wat zijn het en waarom hierop in te zetten</h3><p>Dit hoofdstuk heeft als doel om voor het beleid- en managementniveau te duiden
wat API’s zijn en wat het belang ervan is. Het geeft inzicht in de mogelijkheden
van API’s en waarom het voor de overheid van meerwaarde is om strategisch om te
gaan met het aanbieden van API’s.</p></section><section id="de-rol-van-api-s-in-de-platform-economie"><h3 id="x2-2-de-rol-van-api-s-in-de-platform-economie"><span class="secno">2.2 </span>De rol van API’s in de platform economie</h3><p>Online platformen nemen een steeds grotere rol in binnen onze samenleving. Zowel
als het gaat om sociale interactie als wanneer het gaat om financiële
transacties. Het is een organisatievorm die in toenemende mate aan belang wint
en hele sectoren kan transformeren. Deze platformen zorgen ervoor dat personen
en diensten elkaar makkelijk kunnen vinden, waardoor er nieuwe verbindingen
tussen vele (onbekende) partijen ontstaan en ruimte ontstaat voor innovatie.
Voor allerhande problemen en toepassingen zijn er dan ook steeds meer
programma’s en app’s die je helpen. Bekende voorbeelden zijn Facebook, Google,
Amazon en Airbnb, maar ook Adyen en BOL zijn platformen waar mensen en/of
diensten elkaar vinden om transacties uit te voeren. Deze platformen zijn
bovendien in staat om informatie snel en eenvoudig uit te wisselen en systemen
efficiënt aan elkaar te koppelen. Deze koppelingen tussen systemen worden vaak
via API’s gerealiseerd. Vanuit technisch perspectief zijn het dan ook API’s die
ervoor hebben gezorgd dat deze platformen zo wendbaar zijn, makkelijk kunnen
opschalen en dienstverlening centraal kunnen stellen. Hierdoor zijn ze in staat
om snel nieuwe diensten uit te rollen en binnen enkele jaren uit te groeien tot
organisaties die miljoenen mensen bereiken. Los van de discussie wat de impact
is van deze platformen op onze samenleving, kan de overheid leren van de
technieken die ze gebruiken om verschillende online diensten, bronnen en
(basis)registraties beter te ontsluiten en met elkaar te laten samenwerken – via
API’s.</p></section><section id="wat-is-een-api"><h3 id="x2-3-wat-is-een-api"><span class="secno">2.3 </span>Wat is een API</h3><p>Een Application Programming Interface (API) is een combinatie van technische
bestanden, documentatie en andere ondersteuning die helpen bij het aanroepen van
externe applicaties (Als het in deze API-strategie gaat over API’s dan bedoelen
we daarmee RESTful API’s). Een API wordt gepubliceerd door een
softwareontwikkelaar, zodat andere ontwikkelaars weten hoe de software te
koppelen aan de eigen software. Zodoende kunnen twee applicaties rechtstreeks en
online met elkaar communiceren. Het is daarmee geen standaard, maar eerder een
handleiding die kan worden gebruikt voor een machine tot machine koppeling. Met
name daar waar veel digitale diensten met elkaar samenwerken en informatie
realtime op een makkelijke en toegankelijke manier willen delen zijn API’s zeer
geschikt. De belangrijke eigenschappen van moderne API’s zijn:</p><ul>
<li><p>prestaties (het zorgt ervoor dat machines snel met elkaar praten);</p>
</li>
<li><p>schaalbaarheid (het zorgt ervoor dat het blijft werken bij veel
gebruik(ers);</p>
</li>
<li><p>simpele interfaces (de communicatie tussen componenten is eenvoudig en
overzichtelijk).</p>
</li>
</ul><p><em>API’s kunnen gezien worden als ‘proven technology’, er is veel kennis over en
ervaring mee in de markt. Berichten uitwisselen via API’s is niet perse
onveiliger of veiliger dan hoe de overheid op dit moment haar
berichtenuitwisseling organiseert. Het gebruik van API’s beperkt zich daarmee
niet alleen tot open data, maar kan juist ook goed worden ingezet voor meer
gevoelige / gesloten data.</em></p></section><section id="achtergrond"><h3 id="x2-4-achtergrond"><span class="secno">2.4 </span>Achtergrond</h3><p>De opkomst van de API begon rond 2008. Tot die tijd was er op het internet maar
één kanaal belangrijk: de menselijke gebruiker met een webbrowser. Sindsdien
zijn er veel meer kanalen ontstaan via welke je als organisatie je diensten wil
ontsluiten, bijvoorbeeld via mobiele devices, internet of things toepassingen,
social media platforms en wearables. Ook de beweging naar cloud computing draagt
bij aan het gebruik van API’s. Diensten worden steeds meer in de cloud
aangeboden (en afgenomen), waarbij het nodig kan zijn om deze diensten met
elkaar te integreren in andere producten.</p><p>Voor Nederlandse burgers en bedrijven betekenen de mogelijkheden die API’s
bieden dat ze hetzelfde van de overheid verlangen als wat ze gewend zijn van
(commerciële) platforms. Deze platforms zijn slim in het creëren van nieuwe
diensten door het koppelen van verschillende API’s en kunnen makkelijk inspelen
op nieuwe ontwikkelingen en goede dienstverlening. Daarnaast willen burgers
informatie en diensten van de overheid snel en plaats-onafhankelijk gebruiken op
alle kanalen die ze gewend zijn. De overheid biedt echter nog maar weinig API’s
aan en maakt nog te gefragmenteerd gebruik van deze techniek. Omdat veel
overheid-ICT is gebaseerd op principes uit de jaren ’90 en begin jaren ’00, kan
de overheid onvoldoende meebewegen met technologische ontwikkelingen, nieuwe
wetgeving en verwachtingen van haar burgers en bedrijven en raakt hierdoor
achterop op technologisch vlak.</p></section><section id="belang-voor-de-overheid"><h3 id="x2-5-belang-voor-de-overheid"><span class="secno">2.5 </span>Belang voor de overheid</h3><p>Verschillende ontwikkelingen en factoren maken het voor de overheid relevant om
meer in te zetten op gegevensuitwisseling via API’s:</p><ul>
<li><p>Meer autonomie en controle over gegevens. API’s maken het makkelijker om
gegevens vanuit de bron te ontsluiten en dan wel alleen die gegevens die
noodzakelijk zijn voor een specifieke vraag. Hierdoor wordt voorkomen dat er
onnodig veel gegevens worden uitgewisseld. Ook is het voordeel dat gegevens
op één plek worden gemuteerd en vanuit daar worden geraadpleegd. Hierdoor is
er meer grip op de informatiehuishouding en zijn de beheerlasten lager.</p>
</li>
<li><p>Er zijn een toenemend aantal (tijdelijke) samenwerkingsverbanden en
organisaties die met elkaar gegevens uitwisselen. Interactie tussen
personen, organisaties, diensten en applicaties zijn meer fluïde en tussen
(voor elkaar) onbekende organisaties of personen. Zie bijvoorbeeld een Smart
City waar veel verschillende organisaties en personen bij elkaar komen op
verschillende onderwerpen. Relatief neemt het belang van vaste ketens
hierdoor af. Makkelijke koppelingen zijn in deze situaties noodzakelijk
zonder grote investeringen of uitgebreide studies.</p>
</li>
<li><p>De noodzaak van een meer flexibele ICT en minder faalkosten bij het
ontwikkelen van ICT. De huidige manier van ICT ontwikkeling is door agile te
werken. Met deze methode kan je beter incrementeel het huidige ICT landschap
verbeteren en niet via een ‘big bang’. API’s sluiten goed aan op deze trend
omdat aansluiten en ontwikkelen makkelijker is. Het gevolg is een minder
complexe ICT met een lagere beheerlast.</p>
</li>
<li><p>Bevorderen van innovatie. De huidige ICT infrastructuur van de overheid is
gebouwd met als primair doel gegevensuitwisseling binnen de overheid zelf.
API gedreven informatie uitwisseling draait dit om en gaat ervan uit dat
potentieel iedereen zou moeten kunnen aansluiten en met elkaar samenwerken,
ook nu nog onbekende partijen. Aansluiten moet dan zo makkelijk, eenduidig
en goedkoop mogelijk zijn en de kwaliteit van data moet hoog zijn zodat
realtime gegevensuitwisseling mogelijk is. Op deze manier wordt innovatie
beter gefaciliteerd en kunnen bedrijven en overheden meer met elkaar
samenwerken.</p>
</li>
<li><p>Er is een tekort aan goed geschoold ICT personeel en de overheid heeft
moeite om goed ICT personeel te vinden. Zodra beter wordt aangesloten op wat
de gangbare kennis in de markt is en er meer gebruik wordt gemaakt van de
mogelijkheden die moderne technieken bieden, wordt het werken bij de
overheid interessanter. Hierdoor groeit het aanbod van potentiële kandidaten
en wordt de overheid een aantrekkelijkere werkgever voor ICT personeel.</p>
</li>
</ul></section><section id="developer-first"><h3 id="x2-6-developer-first"><span class="secno">2.6 </span>Developer First</h3><p>De belangrijkste doelgroep van de digitale overheid die vaak wordt vergeten, is
de programmeur. Vaak gaat het binnen de digitale overheid over betere
dienstverlening voor burgers en bedrijven, maar bij het neerzetten van een goede
ICT dienstverlening is de softwareontwikkelaar als doelgroep cruciaal. Het is
immers de ontwikkelaar die de producten gaat bouwen en de data ontsluit en
daarmee een cruciale rol inneemt als intermediair in de dienstverlening naar burgers en
bedrijven. In de praktijk is er echter weinig aandacht om deze doelgroep goed te
faciliteren.</p><p>Deze ‘developer first’ gedachte staat juist centraal binnen de online
platformen. Daar wordt uitgegaan van een scheiding tussen data en processen.
Voor een organisatie is het namelijk ondoenlijk om je te bemoeien met hoe de
userinterface op alle kanalen en diensten eruit ziet. Terwijl het van
toegevoegde waarde kan zijn om zijn unieke resources te ontsluiten zodat
ontwikkelaars van andere platforms / organisaties hierop kunnen aansluiten en
deze kunnen integreren. Als organisatie wil je er natuurlijk wel voor zorgen dat
zoveel mogelijk gebruik gemaakt wordt van jouw API. Als anderen deze API
hergebruiken krijg je namelijk ook hun gebruikers of klanten erbij en heb je een
breder bereik. Hergebruik is te realiseren door het programmeurs van andere
partijen zo makkelijk mogelijk te maken.</p><p>Er wordt dan ook voor gepleit om de ‘time to first call’ zo laag mogelijk te
houden. Dit is de tijd die het duurt voordat je succesvol tussen systemen gegevens
kan uitwisselen via de API. De regel is: hoe korter, hoe beter. Het grote
bijkomende voordeel van deze gereduceerde complexiteit is ook dat hiermee wordt
voorkomen dat er allerlei tussenoplossingen ontstaan en dat men iets zelf gaat
bouwen. Door dergelijke tussenoplossingen ontstaat een complexer IT landschap en
een verhoogd risico op ‘vendor lock-in’. Hoofdstuk 5 gaat in op hoe deze
gebruikerswensen zijn te faciliteren.</p></section><section id="gegevens-bevragen-bij-de-bron"><h3 id="x2-7-gegevens-bevragen-bij-de-bron"><span class="secno">2.7 </span>Gegevens bevragen bij de bron</h3><p>Binnen de overheid worden nog vaak databases gedupliceerd die vervolgens vanuit
de bron worden gesynchroniseerd. Hierdoor worden gegevens op verschillende
plekken bijgehouden, zowel in systemen van overheden als leveranciers. Het
dupliceren en synchroniseren van gegevens brengt risico op fouten met zich mee,
omdat op meerdere plekken dezelfde informatie onderhouden moet worden. Daarnaast
is het ook lastiger om toezicht te houden op wie er toegang heeft tot deze
gegevens en wanneer ze worden bevraagd. AVG compliancy is daarmee moeilijker en
kostbaarder. Primaire bevraging bij de bron verdient dus de voorkeur voor het
garanderen van de kwaliteit van data en zorgt voor meer transparantie en
accountability. Door het inzetten van API’s wordt het makkelijker en minder
kostbaar om de bron te bevragen, wat de noodzaak voor dupliceren vermindert.
Daarnaast is het eenvoudiger om alleen die gegevens te leveren die echt nodig
zijn voor een dienst en om de autorisatie hiervan bij de bron te beleggen.</p></section><section id="wat-kan-je-zelf-doen"><h3 id="x2-8-wat-kan-je-zelf-doen"><span class="secno">2.8 </span>Wat kan je zelf doen?</h3><p>Om te bepalen wat een API gedreven informatie-uitwisseling kan betekenen voor je
organisatie is een goede eerste stap om het visiedocument van de organisatie
erbij te pakken. Kunnen de daarin gestelde doelstelling niet veel beter en
makkelijker gerealiseerd worden als meer gebruik wordt gemaakt van
gegevensuitwisseling via API’s?</p><p>Een goede twee stap is om te onderzoeken welke informatie je organisatie
aanbiedt (denk bijvoorbeeld aan (basis)registraties), deze informatie is vaak
ook informatie die gekoppeld is aan de primaire taken van een
organisatie, en met API’s zijn deze mogelijk makkelijker te ontsluiten. De derde
stap is dan om te kijken uit welke externe bronnen je informatie nodig hebt om
de business doelstellingen te behalen. Kijk daarbij ook of de kwaliteit van
de bronnen nu voldoende is. Dit kunnen zowel externe als interne
bronnen zijn. Een vervolgstap is om te onderzoeken welke externe koppelingen met
andere systemen (zowel interne als extern) er al zijn, hoe deze zijn ingericht
en welke afspraken daar achter liggen en of het niet goedkoper en makkelijker
kan via API’s.</p><p>Als hieruit voorkomt dat de organisatie veel te winnen heeft bij
gegevensuitwisseling via API’s, dan is het vervolg van deze API strategie
relevant om te bepalen hoe dat dan te doen. Het volgende hoofdstuk geeft een
technische invulling aan hoe een organisatie zelf API’s kan aanbieden en welke
voorwaarden, designprincipes en standaarden daarbij te hanteren.</p></section><section id="enkele-voorbeelden"><h3 id="x2-9-enkele-voorbeelden"><span class="secno">2.9 </span>Enkele voorbeelden</h3><ul>
<li><p>De NS beschikt over een grote hoeveelheid data met informatie over de
geplande en actuele dienstregeling. Deze informatie wordt via een API
aangeboden en wordt bijvoorbeeld door Google Maps weer geïntegreerd voor
optimale routeplanning. Google Maps wordt trouwens ook via een API
aangeboden en veel verwerkt in bijvoorbeeld websites.</p>
</li>
<li><p>Amsterdam Data Exchange en Amsterdam Data Portal. Dit is een samenwerking
voor de onafhankelijke en betrouwbare data-uitwisseling voor iedereen. Het
is een eerlijke en betrouwbare datamarkt, waarin gebruikers controle hebben
over hun data. Zowel overheden als bedrijven kunnen participeren.
Gevensuitwisseling gaat vaak via API’s, zo worden bijvoorbeeld via de
Amsterdam Data Portal verschillende API’s aangeboden.</p>
</li>
<li><p>Parkeren via de mobiel gaat ook via API’s die weer gekoppeld zijn aan de
‘parkeersystemen’ van gemeenten, op deze markt zijn veel verschillende
aanbieders actief.</p>
</li>
<li><p>De Kamer van Koophandel biedt een API aan om aan te sluiten op het
Handelsregister. Hierdoor is het mogelijk om te zoeken en gegevens te
controleren (denk aan handelsnaam, adresgegevens en KVK-nummer) via externe
softwareprogramma’s. Hiervoor moet apart toegang worden aangevraagd.</p>
</li>
</ul></section></section>
    <section data-format="markdown" aria-busy="false" id="gebruikerswensen"><!--OddPage--><h2 id="x3-gebruikerswensen"><span class="secno">3. </span><!-- Hoofdstuk 3 -->Gebruikerswensen</h2><p><strong>Inspelen op gebruikerswensen: dé sleutel tot gebruik</strong></p><blockquote>
<p><em>In dit hoofdstuk: Niet alleen wat je aanbiedt moet goed zijn maar vooral ook hoe je dat doet!</em><br><em>Onderwerpen:</em><br><em>- De gebruikers ervaring is erg belangrijk.</em><br><em>- Hoe krijg je partijen laagdrempelig snel echt aan de slag(niet alleen technisch)</em>  </p>
</blockquote><section id="inleiding-0"><h3 id="x3-1-inleiding"><span class="secno">3.1 </span><!-- 3.1 -->Inleiding</h3><p>Overheden bezitten kwalitatief hoogwaardige data en bieden deze aan via API’s.
Vanuit het open data-perspectief maken overheden het hiermee mogelijk dat
anderen -binnen én buiten de overheid- zinvolle toepassingen kunnen ontwikkelen,
die maatschappelijke meerwaarde bieden. Maar de overheid gaat nog verder: bij
initiatieven als Common Ground is het gebruik van API’s zelfs randvoorwaardelijk
om werkprocessen zodanig in te richten, dat data altijd bij de bron bevraagd en
gewijzigd kan worden. Een belangrijke succesfactor in deze ontwikkelingen is de
mate waarin overheden erin slagen om drempels voor het gebruik van hun API’s weg
te nemen. Om het gebruik zo laagdrempelig mogelijk te maken, is het essentieel
dat er aandacht is voor de wensen van gebruikers. En die wensen liggen niet
alleen op het “wat” (wat voor data krijg ik?), maar zeker ook op het “hoe” (hoe
makkelijk kan ik aan de slag met deze API?). Bij de eerste kennismaking met de
API moet de gebruiker verleidt worden om de API te gaan gebruiken en in alle
volgende fases van gebruik (implementeren, in productie nemen en in productie
houden) moet de gebruikerservaring zodanig zijn, dat de gebruiker geen enkele
reden heeft om af te haken. Sterker nog: idealiter wordt de gebruiker zó
enthousiast over de API en de bijbehorende ondersteuning, dat de gebruiker
onderdeel wordt van de gebruikerscommunity en actief gaat bijdragen aan verdere
ontwikkeling en promotie van die API. Merk op dat dit effect alleen bereikt kan
worden, wanneer de totaalbeleving klopt: ook al is het product (de data) zelf
nog zo goed, als de gebruikservaring belabberd is, dan zul je niet veel
potentiële gebruikers verleiden om met je data zinvolle toepassingen te gaan
ontwikkelen. En nog erger: gebruikers die tóch met de API aan de slag gaan,
zullen de helpdesk van de aanbieder zwaar gaan belasten, de data mogelijk
verkeerd gaan interpreteren en de ICT-infrastructuur onnodig zwaar belasten,
wanneer zij slechts omslachtig (met veel API-calls) de gewenste gegevens kunnen
krijgen.</p></section><section id="overkoepelende-aanbeveling-biedt-een-goede-developer-experience-dx"><h3 id="x3-2-overkoepelende-aanbeveling-biedt-een-goede-developer-experience-dx"><span class="secno">3.2 </span><!-- 3.2 -->Overkoepelende aanbeveling: biedt een goede ‘developer experience (DX)’</h3><p>De belangrijkste aanbeveling aan aanbieders van API’s is om zich te richten op
die gebruikservaring; op een goede ‘developer experience (DX)’. Goede DX komt
voort uit stapeling van aandacht voor <em>functionality</em> (functionaliteit - wat
moet de API doen?), voor <em>usability</em> (hoe bruikbaar is de API voor de
developer?) en daar bovenop voor de <em>experience</em> (hoe voelt de developer zich
als die de API gebruikt?). Dat laatste aspect -hoe voelt de developer zich-
klinkt wellicht wat vaag, maar het is in essentie de optelsom van ervaringen in
de interactie tussen een developer en een API aanbieder. Stel: een developer,
Johan (26 jaar – ZZP-er), heeft moeite om een bepaalde API te vinden, vervolgens
blijkt het registratieproces lastig en krijgt hij de API key pas een week later,
daarna blijkt de documentatie in voor Johan deels onbegrijpelijk jargon
geschreven (én is het ook nog eens een PDF van 352 pagina’s), dan heeft Johan
meerdere calls nodig om de gewenste data te krijgen en uiteindelijk is data
helemaal niet in het door Johan gewenst formaat. Elke kleine irritatie is op
zichzelf niet onoverkomelijk, maar de optelsom maakt dat Johan concludeert: “Dit
is niet te doen, ik zoek wel wat anders!”.</p></section><section id="gebruik-van-onboarding-tot-in-productie"><h3 id="x3-3-gebruik-van-onboarding-tot-in-productie"><span class="secno">3.3 </span><!-- 3.3 -->Gebruik: van ‘onboarding’ tot ‘in productie’</h3><p>De zwakte van veel teksten over ‘developer experience’ is dat men zich vaak
alleen richt op de use case van een technische developer die een API wil
implementeren - denk aan Johan in de vorige paragraaf. Gebruik begint echter
niet bij de poging tot implementatie; hier gaan nog stappen aan vooraf. Johan
heeft zich al een aantal vragen gesteld, voordat hij besloot om die poging te
wagen. Die vragen -en daarmee de stappen die hij doorloopt- zijn beter te
introduceren aan de hand van het voorbeeld van een grotere softwareleverancier.
Stel: Anne (43 jaar) werkt als product manager bij een commerciële
softwareleverancier en heeft een aantal applicaties voor de gemeentelijke markt
in haar portfolio. Ze ziet een API op een ontwikkelaarsportaal en beoordeelt aan
de hand van de functionele specificaties of implementatie van de API meerwaarde
biedt voor één van haar applicaties. Eén API trekt haar aandacht en Anne vraagt
Steven (56 jaar, architect bij hetzelfde bedrijf) om te beoordelen of de API
past binnen de software stack van het bedrijf. Steven ziet mogelijkheden en
vervolgens krijgt Jeffrey (37 jaar, software engineer bij hetzelfde bedrijf) de
opdracht om binnen een dag te beoordelen of hij de API succesvol kan integreren
in de nieuwe versie van het product uit Anne’s portfolio. Na Jeffrey’s positieve
oordeel besluit Gea, de manager, om tijd en geld vrij te maken voor
implementatie. Zo komt de API uiteindelijk in de productieversie terecht.</p><p>Dit eindresultaat is bereikt, doordat in alle fases de ‘onboarding’ -het proces
dat Anne, Steven en Jeffrey doorliepen toen zij voor de eerste keer gebruik
maakten van een digitale service (het aanbieden van de API)- prettig verliep.
Uit marketingonderzoeken blijkt een prettige eerste gebruikerservaring van een
online platform (bijvoorbeeld het ontwikkelaarsportaal waarop Anne de API
ontdekte en zij vervolgens samen met Steven en Jeffrey de API beoordeelde) veel
invloed heeft op het verdere gebruik ervan. Oftewel: de kans is groot dat dit
bedrijf vervolgens ook andere API’s op dit ontwikkelaarsportaal gaat gebruiken.</p></section><section id="specifieke-aanbevelingen-voor-een-goede-dx"><h3 id="x3-4-specifieke-aanbevelingen-voor-een-goede-dx"><span class="secno">3.4 </span><!-- 3.4 -->Specifieke aanbevelingen voor een goede DX</h3><section id="aanbeveling-1-werk-met-meerdere-persona-s"><h4 id="x3-4-1-aanbeveling-1-werk-met-meerdere-persona-s"><span class="secno">3.4.1 </span>Aanbeveling 1: werk met (meerdere) persona’s</h4><p>Een API ontwerp en bouw je niet voor een machine, maar voor een gebruiker: een
mens! Om een goede DX te bieden, moet je dus eerst weten voor wie je ontwerpt en
bouwt, voordat je dat goed kunt doen. Persona’s zijn dan belangrijk, er is niet
maar één type developer! Redeneer van buiten naar binnen: wie zijn mijn
gebruikers, wat willen zij kunnen doen en wat moet ik doen om dat zo goed
mogelijk te faciliteren. Het typeren van gebruikers en analyseren welke
behoeften zij hebben, doe je op basis van persona’s.</p><p>Belangrijk hierbij is om te onderkennen dat er verschillende niveaus of typen
gebruik zijn. Onderscheid daarom -met de fases van ‘onboarding’ tot ‘in
productie’ in het achterhoofd- minimaal de volgende persona’s:</p><ul>
<li><p>een product manager / business developer: focus op het kunnen beoordelen van
functionaliteit (“Is dit relevant voor mijn product / mijn doel?”)</p>
</li>
<li><p>een architect: focus op het beoordelen van het informatiemodel (“Hoe
integreert dit met de rest van onze software?”)</p>
</li>
<li><p>een technische developer: focus op het daadwerkelijk kunnen gebruiken (“Hoe
krijg ik dit werkend?”).</p>
</li>
</ul></section><section id="aanbeveling-2-analyseer-welke-api-s-je-aan-moet-bieden-welke-informatievragen-wil-je-beantwoorden"><h4 id="x3-4-2-aanbeveling-2-analyseer-welke-api-s-je-aan-moet-bieden-welke-informatievragen-wil-je-beantwoorden"><span class="secno">3.4.2 </span>Aanbeveling 2: analyseer welke API’s je aan moet bieden: welke informatievragen wil je beantwoorden?</h4><p>De ene API is de andere niet. In veel modellen worden API’s in drie categorieën
onderverdeeld: de System API (die werkt op het niveau van de databron), de
Process API (die doet aan <em>orchestration</em> door één of meerdere System API’s aan
te roepen) en de Convenience of Experience API (die één specifieke
gebruikersvraag beantwoord). Vraag je altijd af welke informatievragen de
gebruiker heeft – in veel gevallen hangen deze vragen niet 1:1 samen met het
datamodel.</p><p>Stel dat je de Basisregistratie Adressen en Gebouwen wil ontsluiten. De
informatievraag “Geef me het volledige adres bij deze postcode” is alleen te
beantwoorden door intern bij een Verblijfsobject de Openbare Ruimte naam,
Nummeraanduiding en Woonplaats op te vragen en te combineren tot één
adressering. Bij een System API moet je meerdere calls doen om dit adres op te
bouwen, terwijl een Convenience API deze gangbare (maar complexe) vraag in één
call kan beantwoorden. Het aanbieden van Convenience API’s naast System API’s is
dus erg gebruiksvriendelijk: de 80% gebruikers die hiermee geholpen zijn,
confronteer je met slechts 20% van de complexiteit. Vergelijk dit met de
Toptaken-aanpak bij de websites van veel gemeenten: de meest aangevraagde
producten (bijv. nieuw paspoort en rijbewijs) staan pontificaal op de homepage,
terwijl de minder vaak gevraagde diensten op vervolgpagina’s staan. Zo reduceer
je de complexiteit voor een zo groot mogelijk deel van je gebruikers.</p></section><section id="aanbeveling-3-documenteer-gericht-op-de-gebruiker-biedt-snel-inzicht-en-gebruik-oas-3"><h4 id="x3-4-3-aanbeveling-3-documenteer-gericht-op-de-gebruiker-biedt-snel-inzicht-en-gebruik-oas-3"><span class="secno">3.4.3 </span>Aanbeveling 3: documenteer gericht op de gebruiker, biedt snel inzicht en gebruik OAS 3</h4><p>Elk type gebruiker dat in aanbeveling 1 wordt genoemd (business developer,
architect, technische developer) verdient zijn eigen ‘Getting started’
documentatie, gericht op het snel kunnen beoordelen en/of toepassen.
Documentatie is nooit een lijvig document (wanneer veel documentatie nodig
lijkt, is de functionaliteit vermoedelijk te complex) én nooit een PDF: laat je
gebruikers makkelijk klikken naar relevante onderdelen binnen én buiten de
documentatie! Referentie-implementaties kunnen ook zinvol zijn om snel een
indruk te bieden van functionaliteit. Voor de technische developer is de
documentatie conform de Open API Specifiction 3.0 (OAS 3); deze staat in
Nederland op de ‘Pas toe of leg uit-lijst’ van het Forum Standaardisatie.</p></section><section id="aanbeveling-4-minimaliseer-time-to-first-call-met-een-goede-sandbox"><h4 id="x3-4-4-aanbeveling-4-minimaliseer-time-to-first-call-met-een-goede-sandbox"><span class="secno">3.4.4 </span>Aanbeveling 4: minimaliseer Time to First Call met een goede Sandbox</h4><p>Zorg dat een developer snel een werkend voorbeeld heeft. Dit vraagt om een goed
gedocumenteerde, realistische Sandbox. Deze Sandbox dient alle aspecten van de
API te ondersteunen en identiek gedrag aan de productieversie van de API te
vertonen, bijvoorbeeld rond authenticatie. Daar waar mogelijk is het zeer
wenselijk dat meerdere API’s dezelfde dataset bieden als Sandbox, zodat ook het
samenspel tussen verschillende API’s getest kan worden.</p></section><section id="aanbeveling-5-borg-ontwikkeling-en-beheer"><h4 id="x3-4-5-aanbeveling-5-borg-ontwikkeling-en-beheer"><span class="secno">3.4.5 </span>Aanbeveling 5: borg ontwikkeling en beheer</h4><p>Ook al is een API nog zo goed ontwikkeld, wanneer doorontwikkeling en beheer
niet goed geregeld is, zal die API niet succesvol zijn. Essentieel hierin is dat
je gebruikers duidelijkheid biedt:</p><section id="aanbeveling-5-1-stel-een-sla-op"><h5 id="x3-4-5-1-aanbeveling-5-1-stel-een-sla-op"><span class="secno">3.4.5.1 </span>Aanbeveling 5.1 Stel een SLA op</h5><blockquote>
<p>  Maak duidelijk welke verwachtingen een gebruiker mag hebben qua uptime,
  service window, beprijzing etc.</p>
</blockquote></section><section id="aanbeveling-5-2-biedt-een-roadmap-aan"><h5 id="x3-4-5-2-aanbeveling-5-2-biedt-een-roadmap-aan"><span class="secno">3.4.5.2 </span>Aanbeveling 5.2 Biedt een roadmap aan</h5><blockquote>
<p>  Maak duidelijk of en zo ja, wanneer er eventuele wijzigingen te verwachten
  zijn en hoe lang de API minimaal beschikbaar blijft.</p>
</blockquote></section><section id="aanbeveling-5-3-doe-aan-versiebeheer"><h5 id="x3-4-5-3-aanbeveling-5-3-doe-aan-versiebeheer"><span class="secno">3.4.5.3 </span>Aanbeveling 5.3 Doe aan versiebeheer</h5><blockquote>
<p>  Borg dat de toepassing van de gebruiker blijft werken, door te zorgen voor
  backward compatability. Grotere updates kunnen als nieuwe versie worden
  uitgebracht, waarbij oudere versies nog een gegarandeerde periode
  beschikbaar blijven. Het versienummer kan in elke call staan, bijv. GET
  /api/v1.0/...</p>
</blockquote></section><section id="aanbeveling-5-4-sluit-de-feedback-loop-betrek-de-community"><h5 id="x3-4-5-4-aanbeveling-5-4-sluit-de-feedback-loop-betrek-de-community"><span class="secno">3.4.5.4 </span>Aanbeveling 5.4 Sluit de feedback-loop: betrek de community</h5><blockquote>
<p>  Om echt van buiten naar binnen te kunnen werken, is het betrekken van de
  community van gebruikers onmisbaar. De community kan vertellen hoe de
  developer experience tot nu toe is, welke verbeteringen wenselijk zijn,
  welke gebruikersvragen er sterk leven, maar nog onvoldoende ondersteund
  worden, etc., etc. Daarnaast wil je de community ook actief informeren over
  voorgenomen wijzigingen e.d. Het gebruik van API keys is een manier om je
  gebruikers te kennen.</p>
</blockquote></section></section><section id="aanbeveling-6-maak-duidelijk-wat-je-data-betekent"><h4 id="x3-4-6-aanbeveling-6-maak-duidelijk-wat-je-data-betekent"><span class="secno">3.4.6 </span>Aanbeveling 6: maak duidelijk wat je data betekent</h4><p>Wanneer je data openstelt voor derden, inclusief niet-specialisten, is het
essentieel om eenduidig vast te leggen wat de data betekent, waarbij deze
betekenis ook voor niet-specialisten begrijpelijk is. Het vastleggen van
semantiek kan o.a. door definities en informatiemodellen goed te ontsluiten,
maar ook door praktischere zaken als heldere naamgeving van variabelen etc.</p></section><section id="aanbeveling-7-wees-vindbaar-voor-developers"><h4 id="x3-4-7-aanbeveling-7-wees-vindbaar-voor-developers"><span class="secno">3.4.7 </span>Aanbeveling 7: wees vindbaar voor developers</h4><p>Een goede, gebruiksgerichte API, die bovendien actief wordt beheerd en
doorontwikkeld, kan nog steeds weinig gebruikt worden wanneer deze API niet goed
vindbaar is. Zorg daarom dat je een goed developersportaal hebt, idealiter
nationaal bij developer.overheid.nl. Presenteer breed toepasbare API’s en
datasets daar prominenter dan specifiekere API’s en obscure datasets, wederom te
vergelijken met de toptaken-aanpak bij gemeentelijke websites. Een goed
developersportaal informeert niet alleen over beschikbare API’s, maar inspireert
en verleidt zelfs developers om bepaalde API’s te gebruiken. Het vullen van het
developersportaal mag daarom nooit sluitpost van een project zijn.</p></section><section id="aanbeveling-8-niet-alles-is-een-api"><h4 id="x3-4-8-aanbeveling-8-niet-alles-is-een-api"><span class="secno">3.4.8 </span>Aanbeveling 8: niet alles is een API!</h4><p>Bedenkt altijd goed of een API de juiste oplossing is. In sommige gevallen is
een bulk download nog steeds praktischer voor een gebruiker. Wanneer een API
zinvol is? Hoe hoger de mutatiefrequentie van de data, hoe zinvoller een API
wordt. En bij hoge mutatiefrequenties, is een API die was-wordt leveringen kan
bieden zinvol.</p></section></section></section>
    <section data-format="markdown" aria-busy="false" id="api-designrules-ontwerpregels"><!--OddPage--><h2 id="x4-api-designrules-ontwerpregels"><span class="secno">4. </span>API designrules (ontwerpregels)</h2><blockquote>
<p><em>Het doel van dit hoofdstuk is een set van regels te beschrijven op basis waarvan de hele overheid op eenduidige manier RESTful APIs (afgekort tot APIs) aan kan bieden. Hiermee wordt bereikt dat de overheid voorspelbaar is en ontwikkelaars makkelijk aan de slag kunnen en APIs kunnen consumeren en combineren. Vooralsnog is niet voorzien dat in dit hoofdstuk ook regels worden opgenomen voor ander type APIs zoals SOAP. In bijlage API-principes is de set van regels samengevat in een aantal principes die in de kern beschrijven waarmee rekening moet worden gehouden bij het ontwerpen en realiseren van API's</em></p>
</blockquote><section id="inleiding-1"><h3 id="x4-1-inleiding"><span class="secno">4.1 </span>Inleiding</h3><p>Binnen de overheid zijn meer en meer organisaties bezig met het implementeren en aanbieden van RESTful APIs, in veel gevallen worden deze APIs naast bestaande koppelvlakken zoals SOAP en WFS aangeboden om bestaande datasets te ontsluiten. Eén van de doelen die hiermee vaak nagestreefd wordt is het aanbieden van een API die developer friendly is (zie voor de uitleg hierover paragraaf 2.6 en hoofdstuk 3) en waarmee een developer snel aan de slag kan. Dit is uiteraard een mooi streven, maar het borgt nog niet dat een developer voor iedere nieuwe API niet alsnog een flinke leercurve heeft. Een developer moet uiteraard bij iedere nieuwe API wel begrijpen waarvoor de API ingezet kan worden, echter zou het niet nodig moeten zijn dat ook de technische werking tussen APIs sterk verschilt. Het Kennisplatform APIs heeft zich daarom als doel gesteld om te komen tot een set met designrules/ontwerpregels voor APIs waarmee APIs overheidsbreed technisch gezien vergelijkbaar werken en daarmee eenvoudiger worden om te implementeren. Dit hoofdstuk beschrijft de set met designrules die breed toepasbaar zijn. Vanuit het Kennisplatform APIs hopen we dat organisaties deze designrules gaan inzetten in hun eigen API strategie, dat eventuele uitzonderingen of aanvullingen terug gegeven worden aan het platform zodat de designrules verbeterd kunnen worden.</p><p>Belangrijk om in het achterhoofd te houden bij het realiseren van een API is dat de design rules die in dit hoofdstuk worden geschreven alleen toegepast dienen te worden als de beschreven functionaliteit gewenst is.</p></section><section id="restful-principes"><h3 id="x4-2-restful-principes"><span class="secno">4.2 </span>RESTful principes</h3><p>Het belangrijkste principe van REST is het scheiden van de API in logische resources ("dingen"). De resources beschrijven de informatie van het "ding". Deze resources worden gemanipuleerd met behulp van HTTP-verzoeken en HTTP-operaties. Elke operatie (GET, <code>POST</code>, <code>PUT</code>, <code>PATCH</code>, <code>DELETE</code>) heeft een specifieke betekenis.</p><blockquote>
<p>HTTP definieert ook operaties als <code>HEAD</code>, <code>TRACE</code>, <code>OPTIONS</code> en <code>CONNECT</code>. Deze worden echter in de context van REST vrijwel niet gebruikt en zijn daarom in de verdere uitwerking weggelaten.</p>
</blockquote><table>
<thead>
<tr>
<th>Operatie</th>
<th>CRUD</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>POST</code></td>
<td>Create</td>
<td>Wordt gebruik als een "create" voor resources die collecties representeren (ofwel <code>POST</code> voegt een resource toe aan de collectie).</td>
</tr>
<tr>
<td><code>GET</code></td>
<td>Read</td>
<td>Wordt gebruikt om een resource op te vragen van de server. Data wordt alleen opgevraagd en niet gewijzigd.</td>
</tr>
<tr>
<td><code>PUT</code></td>
<td>Update</td>
<td>Wordt gebruikt om een specifieke resource te vervangen. Is óók een "create" wanneer de resource op aangegeven identifier/URI nog niet bestaat.</td>
</tr>
<tr>
<td><code>PATCH</code></td>
<td>Update</td>
<td>Wordt gebruikt om een bestaande resource gedeeltelijk bij te werken. Het verzoek bevat de gegevens die gewijzigd moeten worden en de operaties die de resource muteren in het daarvoor bedoelde JSON merge patch formaat (RFC 7386).</td>
</tr>
<tr>
<td><code>DELETE</code></td>
<td>Delete</td>
<td>Verwijdert een specifieke resource.</td>
</tr>
</tbody></table><p>Per operatie is tevens bepaald of deze gegarandeerd "veilig" en/of "idempotent" moet zijn. Dit is van belang omdat afnemers en tussenliggende middleware hierop rekenen.</p><blockquote>
<p><strong>Veilig (alleen-lezen)</strong></p>
<p>Veilig (alleen-lezen) betekent in dit geval dat de semantiek is gedefinieerd als alleen-lezen. Dit is van belang als afnemers en tussenliggende systemen gebruik willen maken van caching.</p>
</blockquote><blockquote>
<p><strong>Idempotent</strong></p>
<p>Onder idempotent wordt verstaan dat meerdere identieke verzoeken exact hetzelfde effect hebben als één verzoek.</p>
</blockquote><table>
<thead>
<tr>
<th>Operatie</th>
<th>Veilig</th>
<th>Idempotent</th>
</tr>
</thead>
<tbody><tr>
<td><code>POST</code></td>
<td>Nee</td>
<td>Nee</td>
</tr>
<tr>
<td><code>GET</code>, <code>OPTIONS</code>, <code>HEAD</code></td>
<td>Ja</td>
<td>Ja</td>
</tr>
<tr>
<td><code>PUT</code></td>
<td>Nee</td>
<td>Ja</td>
</tr>
<tr>
<td><code>PATCH</code></td>
<td>Nee</td>
<td>Optioneel</td>
</tr>
<tr>
<td><code>DELETE</code></td>
<td>Nee</td>
<td>Ja</td>
</tr>
</tbody></table><blockquote>
<p><a href="#api-01">API principe: API's garanderen dat operaties "Veilig" en/of "Idempotent" zijn</a></p>
</blockquote><p>REST maakt gebruik van het client stateless server ontwerpprincipe dat is afgeleid van client server met als aanvullende beperking dat het niet toegestaan is om toestand (state) op de server bij te houden. Elk verzoek van de client naar de server moet alle informatie bevatten die nodig is om het verzoek te verwerken, zonder gebruik te hoeven maken van toestand-informatie op de server.</p><blockquote>
<p><a href="#api-02">API principe: Toestandsinformatie wordt nooit op de server opgeslagen</a></p>
</blockquote><section id="wat-zijn-resources"><h4 id="x4-2-1-wat-zijn-resources"><span class="secno">4.2.1 </span>Wat zijn resources?</h4><p>Het fundamenteel concept in elke RESTful API is de resource. Een resource is een object met een type, bijbehorende data, relaties met andere resources en een aantal operaties om deze te bewerken. Resources worden aangeduid met zelfstandige naamwoorden (niet werkwoorden!) die relevant zijn vanuit het perspectief van de afnemer van de API. Dus resources zijn zelfstandige naamwoorden en operaties zijn werkwoorden. Operaties zijn acties die op resources worden uitgevoerd.</p><p>Het is mogelijk om interne datamodellen één-op-één toe te wijzen aan resources, maar dit hoeft niet per definitie zo te zijn. De crux is om alle niet relevante implementatiedetails te verbergen. Enkele voorbeelden van resources zijn: aanvraag, activiteit, pand, rijksmonument en vergunning.</p><p>Als de resources geïdentificeerd zijn, wordt bepaald welke operaties van toepassing zijn en hoe deze worden ondersteund door de API. RESTful API's realiseren CRUD (Create, Read, Update, Delete) operaties met behulp van HTTP-operaties:</p><table>
<thead>
<tr>
<th>Request</th>
<th>Omschrijving</th>
</tr>
</thead>
<tbody><tr>
<td><code>GET /aanvragen</code></td>
<td>Haalt een lijst van aanvragen op</td>
</tr>
<tr>
<td><code>GET /aanvragen/12</code></td>
<td>Haalt een specifieke aanvraag op</td>
</tr>
<tr>
<td><code>POST /aanvragen</code></td>
<td>Creëert een nieuwe aanvraag</td>
</tr>
<tr>
<td><code>PUT /aanvragen/12</code></td>
<td>Wijzigt aanvraag #12 als geheel</td>
</tr>
<tr>
<td><code>PATCH /aanvragen/12</code></td>
<td>Wijzigt een gedeelte van aanvraag #12</td>
</tr>
<tr>
<td><code>DELETE /aanvragen/12</code></td>
<td>Verwijdert aanvraag #12</td>
</tr>
</tbody></table><p>Het mooie van REST is dat er gebruik wordt gemaakt van de bestaande HTTP operaties om de functionaliteit te implementeren met één enkel eindpunt. Hierdoor zijn er geen aanvullende naamgevingsconventies nodig in de URI en blijft de URIstructuur eenvoudig.</p><blockquote>
<p><a href="#api-03">API principe: Alleen standaard HTTP-operaties worden toegepast</a></p>
</blockquote><blockquote>
<p><a href="#api-48">API principe: API-endpoints mogen géén trailing slashes bevatten</a></p>
</blockquote></section><section id="welke-taal"><h4 id="x4-2-2-welke-taal"><span class="secno">4.2.2 </span>Welke taal?</h4><p>Omdat de exacte betekenis van concepten en begrippen vaak in een vertaling verloren gaan, worden resources en de achterliggende entiteiten, velden, etc. in het Nederlands gedefinieerd.</p><blockquote>
<p><a href="#api-04">API principe: Definitie van het koppelvlak is in het Nederlands tenzij er sprake is van een officieel Engelstalig begrippenkader</a></p>
</blockquote></section><section id="naamgeving-eindpunten-in-enkelvoud-of-meervoud"><h4 id="x4-2-3-naamgeving-eindpunten-in-enkelvoud-of-meervoud"><span class="secno">4.2.3 </span>Naamgeving eindpunten in enkelvoud of meervoud?</h4><p>De Keep It Simple Stupid (KISS) regel is hier van toepassing. Hoewel grammaticaal gezien het verkeerd aanvoelt om bij het opvragen van een enkele resource gebruik te maken van een resource naam in het meervoud, is het pragmatisch om te kiezen voor consistente eindpunten en altijd meervoud te gebruiken. Voor de afnemer is het gebruik veel eenvoudiger als er geen rekening gehouden hoeft te worden met enkel- en meervoud (aanvraag/aanvragen, regel/regels). Daarnaast is de implementatie eenvoudiger omdat de meeste ontwikkel frameworks het afhandelen van enkele resource (<code>/aanvragen/12</code>) en meervoudige resources (<code>/aanvragen</code>) met één controller kunnen oplossen.</p><blockquote>
<p><a href="#api-05">API principe: Resource namen zijn zelfstandige naamwoorden in het meervoud</a></p>
</blockquote></section><section id="hoe-omgaan-met-relaties"><h4 id="x4-2-4-hoe-omgaan-met-relaties"><span class="secno">4.2.4 </span>Hoe omgaan met relaties?</h4><p>Als een relatie alleen kan bestaan binnen een andere resource (1-op-n relatie), dan kan de afhankelijke resource (kind) alleen via de ouder benaderd worden. Het volgende voorbeeld maakt dit duidelijk. Een status hoort bij één aanvraag. De statussen worden als volgt benaderd via het eindpunt <code>/aanvragen</code>:</p><table>
<thead>
<tr>
<th>Request</th>
<th>Omschrijving</th>
</tr>
</thead>
<tbody><tr>
<td><code>GET /aanvragen/12/statussen</code></td>
<td>Haalt een lijst van statussen op van aanvraag #12</td>
</tr>
<tr>
<td><code>GET /aanvragen/12/statussen/5</code></td>
<td>Haalt een specifieke status (#5) van aanvraag #12 op</td>
</tr>
<tr>
<td><code>POST /aanvragen/12/statussen</code></td>
<td>Creëert een nieuwe status voor aanvraag #12</td>
</tr>
<tr>
<td><code>PUT /aanvragen/12/statussen/5</code></td>
<td>Wijzigt status #5 van aanvraag #12</td>
</tr>
<tr>
<td><code>PATCH /aanvragen/12/statussen/5</code></td>
<td>Wijzigt een gedeelte van status #5 van aanvraag #12</td>
</tr>
<tr>
<td><code>DELETE /aanvragen/12/statussen/5</code></td>
<td>Verwijdert status #5 uit aanvraag #12</td>
</tr>
</tbody></table><blockquote>
<p><a href="#api-06">API principe: Relaties van geneste resources worden binnen het eindpunt gecreëerd</a></p>
</blockquote><p>Indien er sprake is van een n-op-n relatie zijn er verschillende manieren om de resources te benaderen. De onderstaande verzoeken leveren hetzelfde resultaat op:</p><table>
<thead>
<tr>
<th>Request</th>
<th>Omschrijving</th>
</tr>
</thead>
<tbody><tr>
<td><code>GET /aanvragen/12/activiteiten</code></td>
<td>Haalt een lijst van activiteiten op van aanvraag #12</td>
</tr>
<tr>
<td><code>GET /activiteiten?aanvraag=12</code></td>
<td>Haalt een lijst van activiteiten op, gefilterd op aanvraag #12</td>
</tr>
</tbody></table><p>Bij een n-op-m relatie wordt het opvragen van de individuele resources sowieso ondersteund, waarbij minimaal de identificatie van gerelateerde resources (relatie) wordt teruggegeven. De afnemers moet zelf het eindpunt van de gerelativeerde resource (relatie) aanroepen om deze op te vragen. Dit wordt ook wel aangeduid als lazy loading. De afnemer bepaalt zelf of de relatie geladen wordt en op welk moment.</p><p>De resource dient naast "lazy loading" (de standaard) ook "eager loading" te ondersteunen, zodat de afnemer kan aangeven dat relaties direct meegeladen moeten worden. Dit wordt gerealiseerd middels de standaard query-parameter expand=true. Dit voorkomt dat er twee of meer aparte aanroepen nodig zijn. In beide gevallen is de afnemer in control.</p><blockquote>
<p><a href="#api-07">API principe: Resources ondersteunen bij voorkeur "lazy" en "eager" laden van relaties</a></p>
</blockquote><div class="issue" id="issue-container-number-1"><div role="heading" class="issue-title marker" id="h-issue" aria-level="5"><span>Issue 1</span></div><p class="">Lazy en eager loading worden in de volgende paragraaf nog een keer helemaal uitgelegd.</p></div></section><section id="automatische-laden-van-gelinkte-resources"><h4 id="x4-2-5-automatische-laden-van-gelinkte-resources"><span class="secno">4.2.5 </span>Automatische laden van gelinkte resources</h4><p>Vaak wordt er vanuit één resource verwezen (gelinkt) naar andere (geneste) resources. De RESTful manier om dit op te lossen is de verwijzing naar andere resources als URI op te nemen in een resource. Op basis hiervan kan de afnemer, indien gewenst, de gelinkte resources zelf opvragen. Dit is vergelijkbaar met "lazy loading" in een Object Relational Mapping (ORM) oplossing: resources worden alleen opgehaald als ze nodig zijn.  In sommige gevallen, als de afnemer alle resources nodig heeft, is het efficiënter als de geneste resources in één keer opgehaald worden. Dit is vergelijkbaar met "eager loading" patroon in een ORM-oplossing.</p><p>Omdat dit tegen de REST principes in gaat, moet het toepassen van dit mechanisme een expliciete keuze zijn. De keuze wordt bij de afnemers van de API belegd, zij weten immers of ze extra informatie nodig hebben en welke informatie precies. Dit mechanisme wordt mogelijk gemaakt met de <code>expand</code> query-parameter.</p><p>Als <code>expand=true</code> wordt meegegeven, dan worden alle geneste resources geladen en embedded in het resultaat teruggegeven. Om de hoeveelheid informatie die geretourneerd wordt te beperken, is verplicht om te specificeren welke resources en zelfs welke velden van een resource teruggeven moeten worden. Hiermee wordt voorkomen dat de hele database wordt leeg getrokken.</p><p>Dit wordt gedaan door de resources als een komma's gescheiden lijst te specificeren, bijvoorbeeld: <code>expand=aanvrager,bevoegdGezag</code>. De dot-notatie wordt gebruikt om specifieke velden van resources te selecteren. In het onderstaande voorbeeld wordt van de aanvrager alleen het veld "naam" teruggeven en van het bevoegd gezag de complete resource. Conform de [<cite><a class="bibref" href="#bib-hal">HAL</a></cite>]-standaard zijn de gelinkte resources embedded in de standaard representatie (zie ook aanpasbare representatie).</p><p><code>GET /aanvragen/12?expand=aanvrager.naam,bevoegdGezag</code></p><p>Dit levert het volgende resultaat op:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"id"</span>: <span class="hljs-string">"12"</span>,
<span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Mijn dakkapel"</span>,
<span class="hljs-attr">"samenvatting"</span>: <span class="hljs-string">"Ik wil een dakkapel bouwen!"</span>,
<span class="hljs-attr">"_embedded"</span>: {
  <span class="hljs-attr">"aanvrager"</span>: {
    <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Bob"</span>,
    <span class="hljs-attr">"_links"</span>: {
      <span class="hljs-attr">"self"</span>: {
        <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https: //.../api/register/v1/aanvragers/847"</span>,
        <span class="hljs-attr">"title"</span>: <span class="hljs-string">"Bob"</span>
      }
    }
  },
  <span class="hljs-attr">"bevoegdGezag"</span>: {
    <span class="hljs-attr">"id"</span>: <span class="hljs-string">"42"</span>,
    <span class="hljs-attr">"soort"</span>: <span class="hljs-string">"Gemeente"</span>,
    <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Rotterdam"</span>,
    <span class="hljs-attr">"_links"</span>: {
      <span class="hljs-attr">"self"</span>: {
        <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https: //.../api/register/v1/bevoegde-gezagen/42"</span>,
        <span class="hljs-attr">"title"</span>: <span class="hljs-string">"Rotterdam"</span>
      }
    }
  }
},
<span class="hljs-attr">"_links"</span>: {
  <span class="hljs-attr">"self"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https: //.../api/register/v1/aanvragen/12"</span>,
    <span class="hljs-attr">"title"</span>: <span class="hljs-string">"Mijn dakkapel"</span>
  }
}
}</pre><p>Afhankelijk van de implementatie zal door het selectief kunnen laden van gelinkte resources in veel gevallen de overhead van database selecties, hoeveelheid serialisatie en hoeveelheid uitgewisselde data worden beperkt.</p><blockquote>
<p><a href="#api-08">API principe: Gelinkte resources worden expliciet en selectief mee-geladen</a></p>
</blockquote></section><section id="aanpasbare-representatie"><h4 id="x4-2-6-aanpasbare-representatie"><span class="secno">4.2.6 </span>Aanpasbare representatie</h4><p>De gebruiker van een API heeft niet altijd de volledige representatie (lees: alle velden) van een resource nodig. De mogelijkheid bieden om de gewenste velden te selecteren helpt bij het beperken van het netwerkverkeer (relevant voor lichtgewicht toepassingen), vereenvoudigt het gebruik van de API en maakt deze aanpasbaar (op maat). Om dit mogelijk te maken wordt de query-parameter <code>fields</code> ondersteund. De query-parameter accepteert een door komma's gescheiden lijst met veldnamen. Het resultaat is een representatie op maat. Het volgende verzoek haalt bijvoorbeeld voldoende informatie op om een gesorteerde lijst van open aanvragen te tonen.</p><p>In het geval van HAL zijn de gelinkte resources embedded in de standaard representatie. Met de hier beschreven <code>fields</code> parameter ontstaat de mogelijkheid om de inhoud van de body naar behoefte aan te passen.</p><p><code>GET /aanvragen?fields=id,onderwerp,aanvrager,wijzigDatum&amp;status=open&amp;sorteer=wijzigDatum</code></p><blockquote>
<p><a href="#api-09">API principe: Indien representatie op maat wordt ondersteund, dan conform dit principe</a></p>
</blockquote></section><section id="hoe-om-te-gaan-met-acties-die-niet-passen-in-het-crud-model"><h4 id="x4-2-7-hoe-om-te-gaan-met-acties-die-niet-passen-in-het-crud-model"><span class="secno">4.2.7 </span>Hoe om te gaan met acties die niet passen in het CRUD model?</h4><p>Er zijn ook resource-acties die niet data manipulatie (CRUD) gerelateerd zijn. Een voorbeeld van dit soort acties zijn: het wijzigen van de status (activeren en deactiveren) van een resource of het markeren (star) van een resource. Afhankelijk van het type actie zijn er drie manieren om dit aan te pakken:</p><ol>
<li><p>Herstructureer de actie zodat deze onderdeel wordt van een resource. Dit werkt als de actie geen parameters nodig heeft. Bijvoorbeeld een activeeractie kan worden toegewezen aan een booleaans veld <code>geactiveerd</code> dat bijgewerkt wordt via een <code>PATCH</code> op de resource.</p>
</li>
<li><p>Behandel de actie als een sub-resource. Bijvoorbeeld, een aanvraag markeren met <code>PUT /aanvragen/12/markeringen</code> en verwijderen van de markering met <code>DELETE /aanvragen/12/markeringen</code>. Om de REST principes volledig te volgen moet ook de <code>GET</code> methode voor deze sub-resource beschikbaar zijn.</p>
</li>
<li><p>Soms is er geen logische manier om een actie aan een bestaande resource te koppelen. Een voorbeeld hiervan is een zoekopdracht over meerdere resources heen. Deze actie kan niet worden toegekend aan een specifieke resource. In dit geval is de keuze voor een zelfstandig service-eindpunt <code>/_zoek</code> het meest logische. Gebruik werkwoorden in gebiedende wijs om het onderscheid t.o.v. "echte" resource endpoints zo duidelijk mogelijk te maken. Dit is vanuit het perspectief van de gebruiker het meest logisch ontwerp.</p>
</li>
</ol><p>In de Nederlandse API-strategie wordt gekozen voor manier 2 en 3.</p><blockquote>
<p><a href="#api-10">API principe: Acties die niet passen in het CRUD model worden een sub-resource</a></p>
</blockquote></section></section><section id="api-beveiliging"><h3 id="x4-3-api-beveiliging"><span class="secno">4.3 </span>API Beveiliging</h3><p>API's zijn vanaf elke locatie vanaf het internet te benaderen. Om uitgewisselde informatie af te schermen wordt altijd gebruik gemaakt van een versleutelde verbinding op basis van TLS. Geen uitzonderingen, dus overal en altijd.</p><p>Doordat de verbinding altijd is versleuteld is het authenticatiemechanisme eenvoudiger. Hierdoor wordt het mogelijk om eenvoudige toegangstokens te gebruiken in plaats van toegangstokens met encryptie.</p><blockquote>
<p><a href="#api-11">API principe: De verbinding is ALTIJD versleuteld met minimaal TLS V1.2</a></p>
</blockquote><blockquote>
<p><a href="#api-12">API principe: API's zijn bij voorkeur alleen bruikbaar met behulp van een API-key</a></p>
</blockquote><section id="authenticatie-en-autorisatie"><h4 id="x4-3-1-authenticatie-en-autorisatie"><span class="secno">4.3.1 </span>Authenticatie en autorisatie</h4><p>Een REST API mag geen toestand (state) bijhouden. Dit betekent dat authenticatie en autorisatie van een verzoek niet mag afhangen van cookies of sessies. In plaats daarvan wordt elk verzoek voorzien van een token. Binnen het Kennisplatform APIs is gekozen voor OAuth 2.0 als de standaarden voor het autorisatiemechanisme waar dit nodig is. In hoofdstuk 5 is meer informatie te vinden over het gebruike van OAuth 2.0.</p><blockquote>
<p><a href="#api-13">API principe: Tokens worden niet gebruikt in query parameters</a></p>
</blockquote><p>Bij het gebruik van tokens wordt onderscheid gemaakt tussen geauthentiseerde en niet-geauthentiseerde services met de bijhorende headers:</p><table>
<thead>
<tr>
<th></th>
<th></th>
</tr>
</thead>
<tbody><tr>
<td>Geauthentiseerd</td>
<td><code>Authorization: Bearer &lt;token&gt;</code></td>
</tr>
<tr>
<td>Niet-geauthentiseerd</td>
<td><code>X-Api-Key: &lt;api-key&gt;</code></td>
</tr>
</tbody></table><p>Bij het ontbreken van de juiste headers zijn geen authenticatiedetails beschikbaar en dient de statuscode <code>403 Forbidden</code> terug te worden gegeven.</p><blockquote>
<p><a href="#api-14">API principe: Autorisatie is waar nodig gebaseerd op OAuth 2.0</a></p>
</blockquote><p>Zie ook <a href="#Beveiliging">Het Nederlands profiel OAuth in het hoofdtuk beveiliging</a> voor een nadere uitwerking van de toepassing van OAuth.</p><blockquote>
<p><a href="#api-15">API principe: Authenticatie voor API's met toegangsbeperking of doelbinding is gebaseerd op PKIoverheid</a></p>
</blockquote><section id="autorisatiefouten"><h5 id="x4-3-1-1-autorisatiefouten"><span class="secno">4.3.1.1 </span>Autorisatiefouten</h5><p>In een productieomgeving is het wenselijk om voor het (kunnen) autoriseren zo min mogelijk informatie weg te geven. Met dit in het achterhoofd is het advies om voor statuscode <code>401 Unauthorized</code>, <code>403 Forbidden</code> en <code>404 Not Found</code>, de volgende regels te hanteren:</p><table>
<thead>
<tr>
<th>Bestaat de resource?</th>
<th>Kan de autorisatie worden bepaald?</th>
<th>Geautoriseerd?</th>
<th>HTTP statuscode</th>
</tr>
</thead>
<tbody><tr>
<td>Ja</td>
<td>Ja</td>
<td>Ja</td>
<td><code>20x (200 OK)</code></td>
</tr>
<tr>
<td>Ja</td>
<td>Ja</td>
<td>Nee</td>
<td><code>401 Unauthorized</code></td>
</tr>
<tr>
<td>Ja</td>
<td>Nee</td>
<td>?</td>
<td><code>403 Forbidden</code></td>
</tr>
<tr>
<td>Nee</td>
<td>Ja</td>
<td>Ja</td>
<td><code>404 Not Found</code></td>
</tr>
<tr>
<td>Nee</td>
<td>Ja</td>
<td>Nee</td>
<td><code>403 Forbidden</code></td>
</tr>
<tr>
<td>Nee</td>
<td>Nee</td>
<td>?</td>
<td><code>403 Forbidden</code></td>
</tr>
</tbody></table><p>Het idee van deze regels is dat eerst wordt bepaald of de aanroeper (principal) gerechtigd is voor een resource. Is het antwoord ‘nee' of kan dat niet worden bepaald, bijvoorbeeld omdat de resource nodig is om deze beslissing te kunnen nemen en de resource niet bestaat, dan wordt 403 Forbidden teruggegeven. Op deze manier wordt geen informatie teruggegeven over het al dan niet bestaan van een resource aan een niet-geautoriseerde principal.</p><p>Een bijkomend voordeel van de strategie om eerst te bepalen of er toegang is, meer ruimte biedt om de access control logica te scheiden van de business code.</p></section><section id="openbare-identifiers"><h5 id="x4-3-1-2-openbare-identifiers"><span class="secno">4.3.1.2 </span>Openbare identifiers</h5><p>Openbaar zichtbare identifiers (ID's), zoals die veelal in URI's van RESTful API's voorkomen, zouden onderliggende mechanismen (zoals een nummergenerator) niet bloot moeten leggen en zeker geen zakelijke betekenis moeten hebben.</p><blockquote>
<p><strong>UUID</strong></p>
<p>Het wordt aanbevolen om voor resources die een vertrouwelijk karakter hebben het concept van een UUID (Universally-Unique IDentifier) te gebruiken. Dit is een 16-bytes (128-bits) binaire representatie, weergegeven als een reeks van 32 hexadecimale cijfers, in vijf groepen gescheiden door koppeltekens en in totaal 36 tekens (32 alfanumerieke tekens plus vier afbreekstreepjes):</p>
<p><code>550e8400-e29b-41d4-a716-446655440000</code></p>
<p>Om te zorgen dat de UUID's korter en gegarandeerd "web-veilig" zijn, is het advies om alleen de base64-gecodeerde variant van 22 tekens te gebruiken. De bovenstaande UUID ziet er dan als volgt uit:</p>
<p><code>abcdEFh4520juieUKHWgJQ</code></p>
</blockquote></section><section id="blootstellen-api-key"><h5 id="x4-3-1-3-blootstellen-api-key"><span class="secno">4.3.1.3 </span>Blootstellen API-key</h5><p>De API-key's die standaard worden uitgegeven zijn "unrestricted". Dat wil zeggen dat er geen gebruiksbeperkingen op zitten en ze niet blootgesteld mogen worden via een webapplicatie. Door API-key's zonder gebruiksbeperkingen toe te passen in JavaScript, is er een reële kans op misbruik en quotum-diefstal. Om dit te voorkomen dienen in dit geval zogenaamde "restricted" API-key's te worden uitgegeven en gebruikt.</p><blockquote>
<p><a href="#api-49">API principe: Gebruik "publieke" API-Key</a></p>
</blockquote></section><section id="cors-policy"><h5 id="x4-3-1-4-cors-policy"><span class="secno">4.3.1.4 </span>CORS-policy</h5><p>Webbrowsers implementeren een zogenaamde "same origin policy", een belangrijk beveiligingsconcept om te voorkomen dat verzoeken naar een ander domein gaan dan waarop het is aangeboden. Hoewel dit beleid effectief is in het voorkomen van aanroepen in verschillende domeinen, voorkomt het ook legitieme interactie tussen een API's en clients van een bekende en vertrouwde oorsprong.</p><blockquote>
<p><a href="#api-50">API principe: Controleer toegang en gebruik CORS-header</a></p>
</blockquote></section></section></section><section id="documentatie"><h3 id="x4-4-documentatie"><span class="secno">4.4 </span>Documentatie</h3><p>Een API is zo goed als de bijbehorende documentatie. De documentatie moet gemakkelijk te vinden, te doorzoeken en publiekelijk toegankelijk zijn. De meeste ontwikkelaars zullen eerst de documenten doornemen voordat ze starten met de implementatie. Wanneer de documentatie is weggestopt in pdf-bestanden en achter een inlog, dan vormt dit een drempel voor ontwikkelaars om aan de gang te gaan en de documentatie is niet vindbaar met zoekmachines.
Specificaties (documentatie) zijn beschikbaar als Open API Specification (OAS)9 V3.0 of hoger.</p><blockquote>
<p><a href="#api-16">API principe: Documentatie is gebaseerd op OAS 3.0 of hoger</a></p>
</blockquote><blockquote>
<p><a href="#api-17">API principe: Documentatie is in het Nederlands tenzij er sprake is van bestaande documentatie in het Engels of er sprake is van een officieel Engelstalig begrippenkader</a></p>
</blockquote><p>De documentatie dient voorzien te zijn van voorbeelden inclusief complete request en response cycli. Het moet mogelijk zijn om direct vanuit de documentatie verzoeken te testen (uit te voeren). Daarnaast is elke fout beschreven en voorzien van een unieke foutcode die gebruikt kan worden om de fout op te zoeken.</p><p>Als een API in productie is mag het "contract" (koppelvlak) niet zonder voorafgaande kennisgeving worden gewijzigd. De documentatie moet voorzien zijn van een uitfaseringsplanning (deprecation schedule) en alle details van de wijziging bevatten. Wijzigingen worden via een publiek toegankelijke blog als changelog bekendgemaakt en via een mailinglijst. Hierbij wordt primair gebruik gemaakt van de emailadressen die zijn gekoppeld aan de uitgifte van API-keys.</p><blockquote>
<p><a href="#api-18">API principe: Wijzigingen worden gepubliceerd met een uitfaseringschema</a></p>
</blockquote><section id="best-practice-s"><h4 id="x4-4-1-best-practice-s"><span class="secno">4.4.1 </span>Best practice(s)</h4><blockquote>
<p><a href="#api-51">API principe: OAS via basis-URI beschikbaar in JSON-formaat</a></p>
</blockquote></section></section><section id="versionering"><h3 id="x4-5-versionering"><span class="secno">4.5 </span>Versionering</h3><p>API's zijn altijd geversioneerd. Versioneren zorgt voor een soepele overgang bij wijzigingen. De oude en nieuwe versies worden voor een beperkte overgangsperiode (één jaar) aangeboden. Er worden bovendien maximaal 3 versies van een API ondersteund. Afnemers kiezen zelf het moment dat ze overschakelen van de oude naar de nieuwe versie van een API, als ze het maar voor het einde van de overgangsperiode is.</p><blockquote>
<p><a href="#api-19">API principe: De overgangsperiode bij een nieuwe API versie is maximaal 1 jaar</a></p>
<p>Oude en nieuwe versies (max. 3) van een API worden voor een beperkte overgangsperiode (1 jaar) naast elkaar aangeboden.</p>
</blockquote><p>Er zijn verschillende meningen over de vraag of de versie in de URI of in de header hoort. Het Kennisplatform APIs heeft hier een keuze in gemaakt: alleen het major versienummer wordt in de URI opgenomen. Hierdoor is het mogelijk om verschillende versies van een API via de browser te verkennen.</p><p>Het versienummer begint bij 1 en wordt met 1 opgehoogd voor elke major release waarbij het koppelvlak niet backward compatible wijzigt. De minor en patch versienummers staan altijd in de response-header van het bericht zelf in het formaat <code>major.minor.patch</code>.</p><p>De header (zowel request als response) is als volgt gedefinieerd:</p><table>
<thead>
<tr>
<th>HTTP header</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>API-Version</code></td>
<td>Geeft een specifieke API-versie aan in de context van een specifieke aanroep. Bijvoorbeeld: <code>API-version: 1.2.56</code></td>
</tr>
</tbody></table><p>Via de optionele request-header kan één minor/patch-versie worden aangewezen. Hiermee wordt bedoeld dat in (pre)productie- of aansluitomgeving naast bijvoorbeeld v1 en v2 (de aangewezen versies die alleen bereikbaar zijn via de URI's) ook nog de mogelijkheid bestaat om één "oudere" of "nieuwere" versie van deze API's aan te wijzen en via de request-header te benaderen. De onderstaande URI's wijzen bijvoorbeeld naar de aangewezen productie-release van de API die alleen bereikbaar zijn via de URI:</p><p><code>https://service.omgevingswet.overheid.nl/publiek/catalogus/api/raadplegen/v1</code></p><p><code>API-version: 1.0.2</code> (response header)</p><p><code>https://service.omgevingswet.overheid.nl/publiek/catalogus/api/raadplegen/v2</code></p><p><code>API-version: 2.1.0</code> (response header)</p><p>Het weglaten van de request-header (<code>API-version: x.y.z</code>) selecteert altijd de "aangewezen" productieversie. Indien er voor V2 ook één andere aangewezen versie beschikbaar is, met bijvoorbeeld versienummer V2.1.1, dan kan deze via hetzelfde basis endpoint worden aangeboden en geselecteerd door het meegeven van de juiste request-parameter:</p><p><code>API-version: 2.1.1</code> (request header)</p><p><code>https://service.omgevingswet.overheid.nl/publiek/catalogus/api/raadplegen/v2</code></p><p><code>API-version: 2.1.1</code> (response header)</p><p>Het toevoegen van een endpoint of een niet verplichte attribuut aan de payload zijn voorbeelden van wijzigingen die backward compatible zijn.</p><blockquote>
<p><a href="#api-20">API principe: Alleen het major versienummer is onderdeel van de URI</a></p>
<p>In de URI wordt alleen het major versienummer opgenomen. Minor versienummer en patch versienummer worden in de header van het bericht zelf opgenomen. Het uitgangspunt dat hierbij wordt gehanteerd is dat minor versies en patches geen impact hebben op bestaande code, maar major versies wel.</p>
</blockquote><p>Een API zal nooit helemaal stabiel zijn. Verandering is onvermijdelijk. Het is belangrijk hoe met deze verandering wordt omgegaan. Goed gedocumenteerde en tijdig gecommuniceerde uitfaseringsplanningen zijn in het algemeen voor veel APIgebruikers werkbaar.  </p><section id="uitfaseren-van-een-major-api-versie"><h4 id="x4-5-1-uitfaseren-van-een-major-api-versie"><span class="secno">4.5.1 </span>Uitfaseren van een major API versie</h4><p>Major releases van API's zijn altijd backward incompatible. Immers, als een nieuwe release van de API niet tot backward incompatibiliteit leidt, is er geen reden om een hele versie omhoog te gaan en spreken we van een minor release. Op het moment dat er een major release plaatsvindt, is het de bedoeling dat alle (potentiële) clients deze nieuwe versie implementeren.  </p><p>Omdat we geen clients willen breken kunnen we niet van de een op de andere dag overschakelen van de oude naar de nieuwe versie, zoals dat bijvoorbeeld bij een update van een website wel vaak gebeurt. Daarom is het noodzakelijk om na de livegang van de nieuwe versie óók de oude versie in de lucht te houden. Omdat we de oude versie niet tot in de eeuwigheid willen blijven onderhouden en juist iedereen willen stimuleren om de nieuwe versie te gaan gebruiken, communiceren we een periode waarin clients de gelegenheid krijgen om hun code aan te passen aan de nieuwe versie. Deze periode noemen we de deprecation periode. De lengte van deze periode kan verschillen per API, vaak is dit zes maanden, maar niet meer dan één jaar. Met het oog op beheersbaarheid is het ten zeerste aan te bevelen om maximaal twee major versies (waarvan één de deprecated variant) naast elkaar te draaien. In deze fase is communicatie met clients van de oude versie cruciaal. De volgende zaken moeten gecommuniceerd worden:</p><ul>
<li>Een link naar de (documentatie van de) nieuwe versie van de API;</li>
<li>Deprecation periode met exacte datum waarop de deprecated versie offline wordt gehaald;</li>
<li>Migratieplan om eenvoudig over te stappen naar de nieuwe versie;</li>
<li>Welke features er toegevoegd, gewijzigd of verwijderd worden;</li>
<li>Welke wijzigingen de huidige implementaties kunnen breken;</li>
<li>Contactmogelijkheid om een verlenging van de deprecation periode aan te vragen.</li>
</ul><p>Deze zaken dienen gecommuniceerd te worden via de volgende kanalen:</p><ul>
<li>Per e-mail van de clients (indien bekend);</li>
<li>Duidelijk leesbaar in de API documentatie van de oude versie;</li>
<li>Met een <code>Warning</code> response header in alle responses van de oude API.</li>
</ul><p>Stap voor stap betekent dit het volgende:</p><ol>
<li>Lanceren nieuwe versie;</li>
<li>Bepalen deprecation periode;</li>
<li>Schrijven migratieplan;</li>
<li>Communiceren in de API-documentatie van de oude versie;</li>
<li>Deprecation periode communiceren per e-mail, forum en eventuele andere kanalen;</li>
<li>Warning header toevoegen aan responses van de oude versie;</li>
<li>Logs checken om gebruik van de oude versie te monitoren gedurende deprecation periode;</li>
<li>End-point oude versie dichtzetten op geplande datum en feedback monitoren;</li>
<li>Indien er binnen twee weken geen feedback op de oude versie komt kan de oude versie (inclusief docs) verwijderd worden;</li>
</ol></section><section id="de-warning-response-header"><h4 id="x4-5-2-de-warning-response-header"><span class="secno">4.5.2 </span>De Warning response header</h4><p>De Warning header (zie: RFC 7234) die we hier gebruiken heeft warn-code 299 ("Miscellaneous Persistent Warning") en het API endpoint (inclusief versienummer) als de warn-agent van de warning, gevolgd door de warn-text met de human-readable waarschuwing. Voorbeeld:</p><p><code>Waarschuwing: 299 https://service.../api/.../v1 "Deze versie van de API is verouderd en zal uit dienst worden genomen op 2018-02-01. Raadpleeg voor meer informatie hier de documentatie: https://omgevingswet.../api/.../v1".</code></p><p>Gebruikers moeten voldoende tijd hebben om de oude API uit te faseren. Een periode van 6 tot 12 maanden wordt aanbevolen.</p><blockquote>
<p><a href="#api-21">API principe: Gebruikers van een 'deprecated' API worden actief gewaarschuwd</a></p>
</blockquote></section></section><section id="json"><h3 id="x4-6-json"><span class="secno">4.6 </span>JSON</h3><p>JavaScript Object Notation (JSON) is een formaat, net zoals XML, om gegevens te serialiseren, op te slaan en te versturen. JSON is het primaire representatieformaat voor API's. In tegenstelling tot XML kent JSON een compacte notatie, bijvoorbeeld:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"persoon"</span>: {
  <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Jan"</span>,
  <span class="hljs-attr">"geboortejaar"</span>: <span class="hljs-number">1983</span>
}
}</pre><blockquote>
<p><a href="#api-22">API principe: JSON first - API's ontvangen en versturen JSON</a></p>
</blockquote><blockquote>
<p><a href="#api-23">API principe: API's zijn optioneel voorzien van een JSON Schema</a></p>
</blockquote><blockquote>
<p><a href="#api-24">API principe: Content negotiation wordt volledig ondersteund</a></p>
</blockquote><blockquote>
<p><a href="#api-25">API principe: API's controleren dat de Content-Type header is ingesteld</a></p>
</blockquote><section id="veldnamen-in-snake_case-camelcase-uppercamelcase-of-kebab-case"><h4 id="x4-6-1-veldnamen-in-snake_case-camelcase-uppercamelcase-of-kebab-case"><span class="secno">4.6.1 </span>Veldnamen in <code>snake_case</code>, <code>camelCase</code>, <code>UpperCamelCase</code> of <code>kebab-case</code>?</h4><p>Bij veldnamen wordt gebruik gemaakt van <code>camelCase</code>.</p><blockquote>
<p><a href="#api-26">API principe: Woorden in veldnamen zijn gedefinieerd in <code>camelCase</code></a></p>
</blockquote></section><section id="pretty-print"><h4 id="x4-6-2-pretty-print"><span class="secno">4.6.2 </span>Pretty print</h4><p>De meeste REST clients en browsers (al dan niet met extensies) kunnen JSON netjes geformatteerd weergeven, ook als de response geen white-space bevat.</p><blockquote>
<p><a href="#api-27">API principe: Pretty print is standaard uitgeschakeld</a></p>
</blockquote></section><section id="gebruik-geen-envelop"><h4 id="x4-6-3-gebruik-geen-envelop"><span class="secno">4.6.3 </span>Gebruik geen envelop</h4><p>Veel API's wikkelen antwoorden in enveloppen zoals hieronder is weergegeven:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"persoon"</span>: {
  <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Jan"</span>,
  <span class="hljs-attr">"geboortejaar"</span>: <span class="hljs-number">1983</span>
}
}</pre><p>Een toekomstbestendig API is vrij van enveloppen.</p><blockquote>
<p><a href="#api-28">API principe: Een JSON-response heeft geen omhullende envelop</a></p>
</blockquote></section><section id="json-gecodeerde-post-put-en-patch-payloads"><h4 id="x4-6-4-json-gecodeerde-post-put-en-patch-payloads"><span class="secno">4.6.4 </span>JSON gecodeerde <code>POST</code>, <code>PUT</code> en <code>PATCH</code> payloads</h4><p>API's ondersteunen minimaal JSON gecodeerde <code>POST</code>, <code>PUT</code> en <code>PATCH</code> payloads. Encoded form data (<code>application/x-www-form-urlencoded</code>) payloads worden niet ondersteund. Wat is het verschil?</p><p><code>Content-Type: application/json</code> resulteert in:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"Name"</span>: <span class="hljs-string">"John Smith"</span>,
<span class="hljs-attr">"Age"</span>: <span class="hljs-number">23</span>
}</pre><p>en <code>Content-Type: application/x-www-form-urlencoded</code> resulteert in: <code>Name=John+Smith&amp;Age=23</code></p><blockquote>
<p><a href="#api-29">API principe: API's ondersteunen JSON gecodeerde <code>POST</code>, <code>PUT</code> en <code>PATCH</code> payloads</a></p>
</blockquote></section></section><section id="filteren-sorteren-en-zoeken"><h3 id="x4-7-filteren-sorteren-en-zoeken"><span class="secno">4.7 </span>Filteren, sorteren en zoeken</h3><p>Er wordt gekozen om de basis URL's van resources zo eenvoudig mogelijk te houden. Complexe resultaatfilters, sorteren en geavanceerd zoeken (wanneer dit beperkt blijft tot een enkele resource) worden geïmplementeerd als query-parameters bovenop de basis URL.  </p><section id="filteren"><h4 id="x4-7-1-filteren"><span class="secno">4.7.1 </span>Filteren</h4><p>Om te filteren wordt gebruik gemaakt van unieke query-parameters die gelijk zijn aan de velden waarop gefilterd kan worden. Als je bijvoorbeeld een lijst met aanvragen wilt opvragen van het eindpunt <code>/aanvragen</code> en deze wilt beperken tot open aanvragen, dan wordt het verzoek <code>GET /aanvragen?status=open</code> gebruikt. Hier is <code>status</code> een veld waarop gefilterd kan worden.</p><blockquote>
<p><a href="#api-30">API principe: Filter query-parameters zijn gelijk aan de velden waarop gefilterd kan worden</a></p>
</blockquote><p>Dezelfde systematiek kan worden gehanteerd voor geneste properties. Zoals uitgewerkt met een voorbeeld op basis van de volgende collectie:</p><pre aria-busy="false" class="hljs json">[{
<span class="hljs-attr">"id"</span>: <span class="hljs-number">1</span>,
<span class="hljs-attr">"status"</span>: <span class="hljs-string">"actief"</span>,
<span class="hljs-attr">"overheid"</span>: {
  <span class="hljs-attr">"code"</span>: <span class="hljs-string">"0000"</span>,
  <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Ministerie van BZK"</span>
}
}, {
<span class="hljs-attr">"id"</span>: <span class="hljs-number">2</span>,
<span class="hljs-attr">"status"</span>: <span class="hljs-string">"inactief"</span>,
<span class="hljs-attr">"overheid"</span>: {
  <span class="hljs-attr">"code"</span>: <span class="hljs-string">"9901"</span>,
  <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Provincie Gelderland"</span>
}
}]</pre><p>Alle objecten met de status "actief" kunnen worden gefilterd met <code>/?status=actief</code>. Maar als daarnaast ook op objecten met code "0000" van de overheid gefilterd moeten worden, heeft dit betrekking op een geneste property. Hier kan dan de puntnotatie (zoals bij Javascript) voor worden gebruikt: <code>/?status=actief&amp;overheid.code=0000</code>.</p></section><section id="sorteren"><h4 id="x4-7-2-sorteren"><span class="secno">4.7.2 </span>Sorteren</h4><p>Voor sorteren wordt de query-parameter <code>sorteer</code> gebruikt. Deze query-parameter accepteert een lijst van velden waarop gesorteerd moet worden gescheiden door een komma. Door een minteken ("-") voor de veldnaam te zetten wordt het veld in aflopende sorteervolgorde gesorteerd. Een aantal voorbeelden:</p><table>
<thead>
<tr>
<th>Request</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>GET /aanvragen?sorteer=-prio</code></td>
<td>Haalt een lijst van aanvragen op gesorteerd in aflopende volgorde van prioriteit.</td>
</tr>
<tr>
<td><code>GET /aanvragen?sorteer=-prio,aanvraagDatum</code></td>
<td>Haalt een lijst van aanvragen in aflopende volgorde van prioriteit op. Binnen een specifieke prioriteit, komen oudere aanvragen eerst.</td>
</tr>
</tbody></table><blockquote>
<p><a href="#api-31">API principe: Voor sorteren wordt de query-parameter sorteer gebruikt</a></p>
</blockquote></section><section id="zoeken"><h4 id="x4-7-3-zoeken"><span class="secno">4.7.3 </span>Zoeken</h4><p>Soms zijn eenvoudige filters onvoldoende en is de kracht van vrije-tekst zoekmachines nodig. API's ondersteunen dit middels de query-parameter <code>zoek</code>. Het resultaat wordt in dezelfde representatie teruggegeven.</p><blockquote>
<p><a href="#api-32">API principe: Voor vrije-tekst zoeken wordt een query-parameter zoek gebruikt</a></p>
</blockquote><p>Voorbeelden van de combinatie filteren, sorteren en zoeken:</p><table>
<thead>
<tr>
<th>Request</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>GET /aanvragen?sorteer=-wijzigingDatum</code></td>
<td>Haalt een lijst van recente aanvragen op</td>
</tr>
<tr>
<td><code>GET /aanvragen?status=gesloten&amp;sorteer=-wijzigingDatum</code></td>
<td>Haalt een lijst van recent gesloten aanvragen op</td>
</tr>
<tr>
<td><code>GET /aanvragen?zoek=urgent&amp;status=open&amp;sorteer=-prio,aanvraagDatum</code></td>
<td>Haalt een lijst van aanvragen op met de status 'open' en waarin het woord 'urgent' voorkomt, gesorteerd van hoogste naar laagste prioriteit, en daarbinnen op aanvraagdatum van oud naar nieuw</td>
</tr>
</tbody></table></section><section id="wildcards"><h4 id="x4-7-4-wildcards"><span class="secno">4.7.4 </span>Wildcards</h4><p>API's die vrije-tekst zoeken ondersteunen kunnen overweg met twee soorten wildcard karakters:</p><ul>
<li><code>*</code> Komt overeen met nul of meer (niet-spatie) karakters</li>
<li><code>?</code>  Komt precies overeen met één (niet-spatie) karakter</li>
</ul><p>Bijvoorbeeld, <code>he*</code> zal overeenkomen met elk woord dat begint met <code>he</code>, zoals <code>hek</code>, <code>hemelwaterafvoer</code>, enzovoort. In het geval van <code>he?</code> komt dit alleen overeen met drie letterwoorden die beginnen met <code>he</code>, zoals <code>hek</code>, <code>heg</code>, enzovoort.</p><blockquote>
<p><a href="#api-33">API principe: API's die vrije-tekst zoeken ondersteunen kunnen overweg met twee soorten wildcard karakters: * en ?</a></p>
</blockquote><p>Hieronder volgen nog een aantal basisregels voor wildcards in zoekopdrachten:</p><ul>
<li>Er kan meer dan één wildcard in één zoekterm of zin voorkomen.</li>
<li>De twee wildcard karakters kunnen in combinatie worden gebruikt. Bijvoorbeeld <code>m*??</code> komt overeen met woorden die beginnen met <code>m</code> en drie of meer tekens hebben.</li>
<li>Spaties (URL-encoded als <code>%20</code>) worden gebruikt als woordscheiding en wildcardmatching werkt alleen binnen een enkel woord. Bijvoorbeeld, <code>r*te*</code> komt overeen met de <strong><code>r</code></strong><code>uim</code><strong><code>te</code></strong><code>lijk</code>, maar niet met <strong><code>r</code></strong><code>uimte</code> <strong><code>te</code></strong><code>kort</code>.</li>
<li>Wildcards werken alleen op JSON-velden met tekst (string) waarden.  </li>
</ul></section><section id="aliassen-voor-terugkerende-queries"><h4 id="x4-7-5-aliassen-voor-terugkerende-queries"><span class="secno">4.7.5 </span>Aliassen voor terugkerende queries</h4><p>Om de API ervaring verder te verbeteren is het mogelijk om terugkerende queries als endpoints aan te bieden. Zo kunnen onlangs gesloten aanvragen als volgt worden benaderd:</p><p><code>GET /aanvragen/recent-gesloten</code></p></section></section><section id="tijdreizen"><h3 id="x4-8-tijdreizen"><span class="secno">4.8 </span>Tijdreizen</h3><p>Informatie over een resource is onderhevig aan verandering. Tijdreizen is een mechanisme waarmee het mogelijk is om op standaard manier informatie op te vragen over een bepaald moment in de tijd. De drie belangrijkste tijdsmomenten vanuit het perspectief van tijdreizen via een API zijn:</p><table>
<thead>
<tr>
<th>Tijdsmoment</th>
<th>Omschrijving</th>
</tr>
</thead>
<tbody><tr>
<td>Geldig</td>
<td>Dit is een tijdstip waarop de teruggegeven gegevens in de werkelijkheid geldig zijn.</td>
</tr>
<tr>
<td>Beschikbaar</td>
<td>Dit is een tijdstip waarop geldt dat de teruggegeven gegevens beschikbaar waren via dezelfde API.</td>
</tr>
<tr>
<td>In werking (getreden op)</td>
<td>Dit is een tijdstip waarop een besluit (of delen daarvan), dan wel de daarvan afgeleide gegevens (zoals de definitie van een begrip) juridische werking krijgt.</td>
</tr>
</tbody></table><p>Het basisprincipe voor het tijdreizen is daarbij als volgt:</p><ul>
<li>Indien er geen specifieke datum wordt meegegeven, dan wordt de meest actueel geldige informatie teruggegeven, zoals gebruikelijk op het internet. Indien er nog geen enkele geldige versie bestaat, dan wordt de meest actueel bekende versie teruggegeven;</li>
<li>Indien een specifieke datum wordt meegegeven, wordt deze meegegeven als query-parameter die onderdeel is van de URI.</li>
<li>Bij het opgeven van een specifieke datum wordt onderscheid gemaakt tussen:</li>
<li>welke gegevens op die datum geldig waren(geldigOp);</li>
<li>welke gegevens op die datum beschikbaar waren (beschikbaarOp);</li>
<li>welke regels op die datum juridisch in werking waren getreden (inWerkingOp).</li>
</ul><p>De waarden van de drie query-parameters in de URI zijn als volgt opgebouwd (gebaseerd op RFC3339 / ISO 8601):</p><table>
<thead>
<tr>
<th>Parameter</th>
<th>Waarde</th>
</tr>
</thead>
<tbody><tr>
<td><code>geldigOp</code></td>
<td><code>YYYY-MM-DD</code></td>
</tr>
<tr>
<td><code>beschikbaarOp</code></td>
<td><code>YYYY-MM-DDThh:mm:ss.s</code></td>
</tr>
<tr>
<td><code>inWerkingOp</code></td>
<td><code>YYYY-MM-DD</code></td>
</tr>
</tbody></table><table>
<thead>
<tr>
<th>Waarde</th>
<th>Betekenis</th>
</tr>
</thead>
<tbody><tr>
<td><code>YYYY</code></td>
<td>Viercijferig jaar</td>
</tr>
<tr>
<td><code>MM</code></td>
<td>Tweecijferige maand (01 = januari, enz.)</td>
</tr>
<tr>
<td><code>DD</code></td>
<td>Tweecijferige dag van de maand (01 tot en met 31)</td>
</tr>
<tr>
<td><code>hh</code></td>
<td>Twee cijfers van het uur (00 tot 23) (am / pm niet toegestaan)</td>
</tr>
<tr>
<td><code>mm</code></td>
<td>Twee cijfers van de minuut (00 tot en met 59)</td>
</tr>
<tr>
<td><code>ss</code></td>
<td>twee cijfers van de seconden (00 tot en met 59)</td>
</tr>
<tr>
<td><code>s</code></td>
<td>Eén of meer cijfers die een decimale fractie van een seconde vertegenwoordigen</td>
</tr>
</tbody></table><section id="mate-van-ondersteuning"><h4 id="x4-8-1-mate-van-ondersteuning"><span class="secno">4.8.1 </span>Mate van ondersteuning</h4><p>Tijdreizen is een optioneel mechanisme met optionele features. Het kan dus voorkomen dat:</p><ul>
<li>tijdreizen in het geheel niet wordt ondersteund;</li>
<li>het begrip inwerkingtreding niet wordt ondersteund;</li>
<li>tijdreizen naar de toekomst niet wordt ondersteund.</li>
</ul><p>Bij de verwerking van tijdreisvragen dient de afnemer geïnformeerd te worden over ongeldige/niet ondersteunde verzoeken. In de volgende specifieke gevallen wordt de bijbehorende statuscode en toelichting teruggegeven:</p><table>
<thead>
<tr>
<th>Wat wordt niet ondersteund?</th>
<th>HTTP statuscode en toelichting</th>
</tr>
</thead>
<tbody><tr>
<td>Tijdreizen</td>
<td><code>HTTP/1.1 403 Content-Type: application/problem+json Content-Language: nl { "type": ".../id/&lt;c&gt;/parameter/TijdreizenNietOndersteund", "title": "{Het verzoek is begrepen, maar de tijdreisparameters worden niet ondersteund}", "status": 403, "detail": "{Tijdreizen wordt niet ondersteund, verwijder alle tijdreisparameters}", "instance": "/resource/#id"}</code></td>
</tr>
<tr>
<td>Inwerkingtreding</td>
<td><code>HTTP/1.1 403 Content-Type: application/problem+json Content-Language: nl { "type":".../id/&lt;c&gt;/parameter/InWerkingTredingNietOndersteund’", "title": "{Het verzoek is begrepen, maar de tijdreisparameter ‘inWerkingOp’ wordt niet ondersteund}", "status": 403, "detail": "{Tijdreizen met een inwerkingstredingsmoment wordt niet ondersteund, verwijder de parameter ‘inWerkingOp’}", "instance": "/resource/#id"}</code></td>
</tr>
<tr>
<td>Toekomst</td>
<td><code>HTTP/1.1 403 Content-Type: application/problem+json Content-Language: nl { "type": ".../id/&lt;c&gt;/parameter/ToekomstNietOndersteund", "title": "{Het verzoek is begrepen, maar tijdreisparameters mogen geen tijdstip in de toekomst bevatten” }", "status": 403, "detail": "{Tijdreizen naar de toekomst wordt niet ondersteund, verwijder de tijdreisparameters of gebruik een tijdstip in het verleden}", "instance": "/resource/#id"}</code></td>
</tr>
</tbody></table></section><section id="robuustheid"><h4 id="x4-8-2-robuustheid"><span class="secno">4.8.2 </span>Robuustheid</h4><p>Bij de verwerking van tijdreisvragen dient ook rekening te worden gehouden met het ontbreken van historie en globale vragen in een resource-collectie. In volgende specifieke gevallen wordt de bijbehorende statuscode en toelichting teruggegeven:</p><table>
<thead>
<tr>
<th>Soort verzoek</th>
<th>HTTP statuscode en toelichting</th>
</tr>
</thead>
<tbody><tr>
<td>Specifieke resource</td>
<td><code>HTTP/1.1 404 Content-Type: application/problem+json Content-Language: nl {"type": ".../id/&lt;c&gt;/BestaatNiet", "title": "De gevraagde versie bestaat niet.", "status": 404, "detail": "Versie 2017-01-01 van regeling 123 bestaat niet.", "instance": "/regelingen/v1/123?geldigOp=2017-01-01"}</code></td>
</tr>
<tr>
<td>Resource-collectie</td>
<td><code>GET .../regelingen/v1?beschikbaarOp=2017-01-01T00:00:00 HTTP/1.1 200 Content-Type: application/json+hal {"_links": {"self": {"href": "/r-n/v1/123?beschikbaarOp=2017-01-01T00:00:00" }, "items": [ { "href": "/r-n/v1/123?beschikbaarOp=2017-01-01T00:00:00" }, { "href": "/r-n/v1/456?beschikbaarOp=2017-01-01T00:00:00" }, { "href": "/r-n/v1/789?beschikbaarOp=2017-01-01T00:00:00" }] } }</code></td>
</tr>
</tbody></table></section></section><section id="geo-ondersteuning"><h3 id="x4-9-geo-ondersteuning"><span class="secno">4.9 </span>GEO-ondersteuning</h3><p>REST API's voor het werken met geometrieën kunnen een filter aanbieden op basis van geografische gegevens. Het is hierbij belangrijk om een onderscheid te maken tussen een geometrie in het resultaat (response) en een geografische filter in de aanroep (request). Het is immers niet vanzelfsprekend dat als iemand wil weten in welk perceel ik hij/zij zich momenteel bevindt, dat ook de geometrie in de response wordt teruggegeven; een naam of nummer kan dan al voldoende zijn.</p><blockquote>
<p><a href="#api-34">API principe: GEO API's ontvangen en versturen bij voorkeur GeoJSON</a></p>
</blockquote><p>Voor GEO API's wordt bij voorkeur de standaard GeoJSON [<cite><a class="bibref" href="#bib-rfc8142">rfc8142</a></cite>] gebruikt.</p><section id="resultaat-response"><h4 id="x4-9-1-resultaat-response"><span class="secno">4.9.1 </span>Resultaat (response)</h4><p>In een JSON API wordt een geometrie teruggegeven als GeoJSON. We kiezen er voor om dit binnen de <code>application/json</code> te ‘wrappen' in een apart GeoJSON object.</p><blockquote>
<p><a href="#api-35">API principe: GeoJSON is onderdeel van de embedded resource in de JSON response</a></p>
</blockquote></section><section id="aanroep-requests"><h4 id="x4-9-2-aanroep-requests"><span class="secno">4.9.2 </span>Aanroep (requests)</h4><p>Een geografisch filter kan erg complex en groot zijn. Het is daarom een best practice om dergelijke complexe vragen niet in de request URI, maar in de body mee te sturen. Omdat <code>GET</code> geen payload mag hebben (hoewel sommige clients dit wel ondersteunen) moet hier dus een andere methode voor gebruikt worden.</p><p>In analogie met API's zoals die van Elasticsearch, is een <code>POST</code> naar een apart endpoint de juiste weg om te bewandelen. Het onderstaande voorbeeld doet een zogenaamde GEO-query naar alle panden waarin het veld <code>_geo</code> (er kunnen ook andere velden zijn, zoals <code>hoofdgeometrie</code>, <code>binnenOmtrek</code>, <code>buitenOmtrek</code>, etc.) het GeoJSON object (in dit geval een <code>Point</code>, dus één coördinaat) bevat:</p><pre aria-busy="false" class="hljs javascript"><span class="hljs-comment">// POST /api/v1/panden/_zoek met request body:</span>
{
<span class="hljs-string">"_geo"</span>: {
  <span class="hljs-string">"contains"</span>: {
    <span class="hljs-string">"type"</span>: <span class="hljs-string">"Point"</span>,
    <span class="hljs-string">"coordinates"</span>: [<span class="hljs-number">5.9623762</span>, <span class="hljs-number">52.2118093</span>]
  }
}
}</pre><blockquote>
<p><a href="#api-36">API principe: Voor GEO queries is een POST endpoint beschikbaar</a></p>
</blockquote><p>Omdat we ons met het geo endpoint beperken tot een GEO-query en we wellicht ook gecombineerde queries willen doen is het sterk aan te bevelen om een generiek query endpoint in te richten:</p><pre aria-busy="false" class="hljs javascript"><span class="hljs-comment">// POST /api/v1/panden/_zoek met request body:</span>
{
<span class="hljs-string">"_geo"</span>: {
  <span class="hljs-string">"contains"</span>: {
    <span class="hljs-string">"type"</span>: <span class="hljs-string">"Point"</span>,
    <span class="hljs-string">"coordinates"</span>: [<span class="hljs-number">5.9623762</span>, <span class="hljs-number">52.2118093</span>]
  }
},
<span class="hljs-string">"status"</span>: <span class="hljs-string">"Actief"</span>
}</pre><blockquote>
<p><a href="#api-37">API principe: POST endpoints zijn uitbreidbaar voor gecombineerde vragen</a></p>
</blockquote><p>Naast contains kan er ook <code>intersects</code> (snijdt) of <code>within</code> (valt binnen) als operators gebruikt worden. De benamingen van deze operators komen uit de GEO-wereld en die willen we niet opnieuw uitvinden. Zie voor meer details: <a href="https://www.w3.org/TR/sdw-bp/#entity-level-links">https://www.w3.org/TR/sdw-bp/#entity-level-links</a>  </p><p>Omdat we voor de geometrie een GeoJSON object gebruiken hoeven we hier geen syntax meer voor te verzinnen.</p><blockquote>
<p><a href="#api-38">API principe: Resultaten van een globale zoekvraag worden in de relevante context geplaatst</a></p>
</blockquote><p>In het volgende voorbeeld wordt aangegeven hoe dit kan worden gerealiseerd:</p><pre aria-busy="false" class="hljs javascript"><span class="hljs-comment">// POST /api/v1/_zoek:</span>
{
<span class="hljs-string">"_embedded"</span>: {
  <span class="hljs-string">"results"</span>: [{
    <span class="hljs-string">"type"</span>: <span class="hljs-string">"enkelbestemming"</span>,
    <span class="hljs-string">"_links"</span>: {
      <span class="hljs-string">"self"</span>: {
        <span class="hljs-string">"title"</span>: <span class="hljs-string">"Enkelbestemming 1234"</span>,
        <span class="hljs-string">"href"</span>: <span class="hljs-string">"/enkelbestemmingen/1234"</span>
      }
    }
  }, {
    <span class="hljs-string">"type"</span>: <span class="hljs-string">"dubbelbestemming"</span>,
    <span class="hljs-string">"_links"</span>: {
      <span class="hljs-string">"self"</span>: {
        <span class="hljs-string">"title"</span>: <span class="hljs-string">"Dubbelbestemming 8765"</span>,
        <span class="hljs-string">"href"</span>: <span class="hljs-string">"/dubbelbestemmingen/8765"</span>
      }
    }
  }]
}
}</pre></section><section id="crs-negotiation"><h4 id="x4-9-3-crs-negotiation"><span class="secno">4.9.3 </span>CRS-negotiation</h4><p>Het default CRS (Coordinate Reference System) van GeoJSON is WGS84. Dit is het globale coördinatenstelsel dat overal ter wereld redelijk goed bruikbaar is, maar vanwege het gebruikte model van de aarde en de verschuiving van de tektonische platen minder nauwkeurig is dan lokale coördinatenstelsels zoals ETRS89 (EPSG:4258, Europees) of RD (EPSG:28992, Nederlands).</p><p>Omdat de meeste client-bibliotheken met WGS84 werken, schrijft de W3C/OGC werkgroep "Spatial Data on the Web" voor om dit standaard te ontsluiten. Dit kan direct op een kaart geplot worden zonder moeilijke transformaties. De API-strategie voorziet hierin door naast ETRS89 en RD ook WGS84 of Web Mercator (EPSG:3857, voor rasterdata) te ondersteunen.</p><blockquote>
<p><a href="#api-39">API principe: Het voorkeur-coördinatenstelsels (CRS) is ETRS89, maar het CRS wordt niet impliciet geselecteerd</a></p>
</blockquote><p>Het is mogelijk om het CRS voor vraag en antwoord via headers afzonderlijk te specificeren. Hierin zijn vervolgens drie opties (met voorgeschreven projecties) voorhanden: RD, ETRS89 en WGS84.</p><p>Een nadere opsomming van de uitgangspunten voor het CRS:</p><ul>
<li>Leg als bronsysteem binnenkomende formaat vast (juridische context);</li>
<li>Coördinatenstelsels API-strategie: vraag/antwoord in RD; ETRS89; WGS84;</li>
<li>Overweeg no-regret: vastleggen in ETRS89 én RD i.p.v. realtime bepalen;</li>
<li>Hanteer RDNAPTRANS™ 2018 bij transformatie RD versus ETRS89 (correctiegrid);</li>
<li>Presentatie afhankelijk van context (o.a. gebruikerswensen);</li>
<li>Uitwisselingsformaat (notatie) ETRS89 en WGS84 X Y in decimale graden: DD.ddddddddd (voorbeeld: <code>52.255023450</code>)</li>
<li>Uitwisselingsformaat (notatie) RD X Y in meters (niet afgerond): <code>195427.5200 311611.8400</code></li>
</ul><blockquote>
<p><a href="#api-40">API principe: Het coördinatenstelsel (CRS) van de vraag en het antwoord wordt in de header meegestuurd</a></p>
</blockquote><p>De hier genoemde headers zijn puur bedoeld voor de onderhandeling tussen de client en de server. Afhankelijk van de toepassing zal naast de geometrieën ook specifieke metadata onderdeel vormen van het antwoord, bijvoorbeeld de oorspronkelijke realisatie inclusief een inwindatum.</p><p>Vraag en antwoord kunnen op een ander coördinatensysteem zijn gebaseerd. Hiervoor wordt het HTTP-mechanisme voor content negotiation gebruikt. Het CRS van de geometrie in de vraag (request body) wordt aangeduid met de header <code>Content-Crs</code>.</p><table>
<thead>
<tr>
<th>HTTP header</th>
<th>Waarde</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>Content-Crs</code></td>
<td>EPSG:3856</td>
<td>WGS84, Wereld (Web-Mercator-projectie)</td>
</tr>
<tr>
<td><code>Content-Crs</code></td>
<td>EPSG:4258</td>
<td>ETRS89, Europees</td>
</tr>
<tr>
<td><code>Content-Crs</code></td>
<td>EPSG:28992</td>
<td>RD, Nederlands</td>
</tr>
</tbody></table><p>Het gewenste CRS voor de geometrie in het antwoord (response body) wordt aangeduid met de header <code>Accept-Crs</code>.  </p><table>
<thead>
<tr>
<th>HTTP header</th>
<th>Waarde</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>Accept-Crs</code></td>
<td>EPSG:3856</td>
<td>WGS84, Wereld (Web-Mercator-projectie)</td>
</tr>
<tr>
<td><code>Accept-Crs</code></td>
<td>EPSG:4258</td>
<td>ETRS89, Europees</td>
</tr>
<tr>
<td><code>Accept-Crs</code></td>
<td>EPSG:28992</td>
<td>RD, Nederlands</td>
</tr>
</tbody></table></section><section id="crs-transformatie"><h4 id="x4-9-4-crs-transformatie"><span class="secno">4.9.4 </span>CRS-transformatie</h4><p>Voor het transformeren tussen coördinaatreferentiesystemen is binnen de Rijksoverheid software met een keurmerk beschikbaar.</p><blockquote>
<p><a href="#api-41">API principe: Het gewenste coördinatenstelsel wordt op basis van content negotiation overeengekomen</a></p>
</blockquote></section></section><section id="paginering"><h3 id="x4-10-paginering"><span class="secno">4.10 </span>Paginering</h3><p>Voor paginering wordt voor het media type 'application/hal+json' aangesloten op Hypertext Application Language (HAL). Aan geretourneerde objecten worden twee gereserveerde velden <code>_links</code> (verplicht) en <code>_embedded</code> (optioneel) toegevoegd. Deze velden vertegenwoordigen respectievelijk hyperlinks en embedded resources.  </p><p>Hier is een voorbeeld van een JSON+HAL representatie:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"_links"</span>: {
  <span class="hljs-attr">"self"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen?pagina=3"</span>
  },
  <span class="hljs-attr">"first"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen"</span>
  },
  <span class="hljs-attr">"prev"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen?pagina=2"</span>
  },
  <span class="hljs-attr">"next"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen?pagina=4"</span>
  },
  <span class="hljs-attr">"last"</span>: {
    <span class="hljs-attr">"href"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen?pagina=5"</span>
  }
},
<span class="hljs-attr">"id"</span>: <span class="hljs-string">"https://.../api/registratie/v1/aanvragen/12"</span>,
<span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Mijn dakkapel"</span>,
<span class="hljs-attr">"samenvatting"</span>: <span class="hljs-string">"Ik wil een dakkapel bouwen!"</span>,
<span class="hljs-attr">"_embedded"</span>: {
  <span class="hljs-attr">"aanvrager"</span>: {
    <span class="hljs-attr">"naam"</span>: <span class="hljs-string">"Bob"</span>
  }
}
}</pre><p>Indien het "plain" JSON, GeoJSON of iets anders dan HAL betreft zijn er geen <code>_links</code>. Deze kunnen dan opgenomen worden in de link response headers. Naast de representatie wordt de volgende metadata teruggegeven als HTTP headers.</p><table>
<thead>
<tr>
<th>HTTP header</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>X-Total-Count</code> (optioneel)</td>
<td>Totaal aantal resultaten</td>
</tr>
<tr>
<td><code>X-Pagination-Count</code> (optioneel)</td>
<td>Totaal aantal pagina's</td>
</tr>
<tr>
<td><code>X-Pagination-Page</code> (optioneel)</td>
<td>Huidige pagina</td>
</tr>
<tr>
<td><code>X-Pagination-Limit</code> (optioneel)</td>
<td>Aantal resultaten per pagina</td>
</tr>
</tbody></table><p>Bij grote datasets kunnen de berekeningen voor X-Total-Count en X-Pagination-Count behoorlijke impact hebben op de performance, voornamelijk als er niet of nauwelijks gefilterd wordt.</p><blockquote>
<p><a href="#api-42">API principe: Paginering wordt gerealiseerd op basis van JSON+HAL bij media type: application/hal+json</a></p>
</blockquote><p>Alle links in HAL zijn absoluut. Dit in verband met mogelijke externe links (naar andere endpoints, linked-data resources, etc.) en eenvoudigere navigatie door clients ie dan niet zelf de URL hoeven op te bouwen.  </p></section><section id="caching"><h3 id="x4-11-caching"><span class="secno">4.11 </span>Caching</h3><p>Voor sommige resources kan het nuttig zijn om caching toe te passen. HTTP biedt voor caching standaard mechanismes. Door deze mechanismes te gebruiken wordt gebruik gemaakt van standaard caching oplossingen van de client en in de infrastructuur.  </p><p>Het enige wat nodig is om hiervan gebruik te maken is:</p><ul>
<li>Een aantal extra uitgaande HTTP headers toevoegen;</li>
<li>Functionaliteit om een aantal specifieke inkomende HTTP headers af te handelen.</li>
</ul><p>Er zijn 2 manieren om caching te realiseren: ETag en Last-Modified.</p><section id="etag"><h4 id="x4-11-1-etag"><span class="secno">4.11.1 </span>ETag</h4><p>Een ETag (Entity Tag) is een hashcode of checksum van een resource. Als de resource wijzigt ontstaat een andere ETag. Een ETag is dus uniek voor een bepaalde versie van een resource. De ETag wordt als de HTTP header <code>ETag</code> teruggegeven met de resource. De afnemer cached de resource en de ETag. Als de afnemer dezelfde resource opvraagt dan stuurt deze de ETag mee in de HTTP header <code>If-None-Match</code>. De server controleert of de ETag in de HTTP header <code>If-None-Match</code> gelijk is aan de eigen ETag. Indien dit het geval geeft de server een HTTP statuscode <code>304 Not Modified</code> terug. De afnemer laadt dan de resource uit de eigen cache. Dit gaat alleen op over clientside caching, dus is alleen van toepassing als de client ook daadwerkelijk de request headers meestuurt, anders altijd een <code>200 OK</code>.</p></section><section id="last-modified"><h4 id="x4-11-2-last-modified"><span class="secno">4.11.2 </span>Last-Modified</h4><p>Dit werkt in principe net als ETag, behalve dat het gebruik maakt van tijdstempels. De HTTP header <code>Last-Modified</code> bevat een tijdstempel in het RFC 1123 formaat die wordt gevalideerd tegen de HTTP header <code>If-Modified-Since</code>. De server controleert of de resource gewijzigd is sinds het aangegeven tijdstip. Indien dit niet het geval is dan geeft de server een HTTP statuscode <code>304 Not Modified</code> terug. De afnemer laadt dan de resource uit de eigen cache. Dit gaat alleen op over client-side caching, dus is alleen van toepassing als de client ook daadwerkelijk de request headers meestuurt, anders altijd een <code>200 OK</code>.</p><blockquote>
<p><a href="#api-43">API principe: Waar relevant wordt caching toegepast</a></p>
</blockquote></section></section><section id="begrenzingen"><h3 id="x4-12-begrenzingen"><span class="secno">4.12 </span>Begrenzingen</h3><p>API's beperken het aantal verzoeken dat per tijdsperiode gedaan kan worden, om te voorkomen dat de servers overbelast worden om een hoog serviceniveau te garanderen. API's kunnen een bevragingslimiet (quota) per maand bijhouden en die wordt afgedwongen per tijdsperiode van 60 seconden.</p><p>HTTP headers worden gebruikt om de bevragingslimit naar de gebruiker te communiceren.</p><table>
<thead>
<tr>
<th>HTTP header</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td><code>X-Rate-Limit-Limit</code></td>
<td>Geeft aan hoeveel verzoeken een applicatie mag doen per tijdsperiode</td>
</tr>
<tr>
<td><code>X-Rate-Limit-Remaining</code></td>
<td>Geeft aan hoeveel verzoeken nog gedaan kunnen worden in de huidige tijdsperiode</td>
</tr>
<tr>
<td><code>X-Rate-Limit-Reset</code></td>
<td>Geeft aan hoeveel seconden over zijn in de huidige tijdsperiode</td>
</tr>
</tbody></table><blockquote>
<p><a href="#api-44">API principe: Beperken van het aantal verzoeken per tijdsperiode wordt aangeraden</a></p>
</blockquote><p>[<cite><a class="bibref" href="#bib-rfc6585">rfc6585</a></cite>] introduceert een HTTP statuscode <code>429 Too Many Requests</code> die wordt gebruikt om het overschrijden van het aantal verzoeken te melden aan de gebruiker.</p><blockquote>
<p><a href="#api-45">API principe: Begrenzingen worden proactief gemeld</a></p>
</blockquote></section><section id="foutafhandeling"><h3 id="x4-13-foutafhandeling"><span class="secno">4.13 </span>Foutafhandeling</h3><p>Net als een webpagina een bruikbare foutmelding toont aan bezoekers als een fout optreedt, moet een API een bruikbare foutmelding in een bekend en verwerkbaar formaat teruggeven. De representatie van een fout is niet anders dan de representatie van een willekeurige resource alleen met een eigen set van velden.</p><p>De API moet altijd zinvolle HTTP statuscodes teruggeven. HTTP statuscodes zijn opgesplitst in twee categorieën:</p><ul>
<li>400 reeks: voor inhoudelijke fouten</li>
<li>500 reeks: voor server problemen</li>
</ul><p>Een JSON representatie van een fout moet een aantal zaken bevatten om een ontwikkelaar, beheerder en eindgebruiker te helpen:  </p><ul>
<li>Een uniek fouttype in de vorm van een URI die verwijst naar informatie in externe (HTML) documentatie;</li>
<li>Een korte maar nuttig foutmelding;</li>
<li>Een gedetailleerde beschrijving van de fout (die helpt bij het oplossen);</li>
<li>Een unieke identificatie in de vorm van een URI die hoort bij het specifieke voorkomen van de fout (de fout-instantie). Het strekt de voorkeur om een URN te gebruiken waarmee alleen daartoe gerechtigde gebruikers details kunnen opzoeken in de fout-log.  </li>
</ul><p>De basis voor deze standaardformaten is [<cite><a class="bibref" href="#bib-rfc7807">rfc7807</a></cite>]. Een JSON-representatie van een fout ziet er als volgt uit:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"type"</span>: <span class="hljs-string">"URI: https://content.omgevingswet.overheid.nl/id/&lt;c&gt;[/{categorie}]/{fout}"</span>,
<span class="hljs-attr">"title"</span>: <span class="hljs-string">"Hier staat wat er is misgegaan"</span>,
<span class="hljs-attr">"status"</span>: <span class="hljs-number">401</span>,
<span class="hljs-attr">"detail"</span>: <span class="hljs-string">"Meer details over de fout staan hier"</span>,
<span class="hljs-attr">"instance"</span>: <span class="hljs-string">"urn:uuid:ebd2e7f0-1b27-11e8-accf-0ed5f89f718b"</span> // De fout-instantie  
}</pre><p>Validatiefouten voor <code>POST</code>, <code>PUT</code> en <code>PATCH</code> verzoeken worden per veld gespecificeerd. De volledige lijst met fouten wordt in één keer teruggegeven. Dit wordt opgezet met een vast hoofdniveau en foutcode voor validatiefouten en extra foutvelden met gedetailleerde fouten per veld.  </p><p>Dit ziet er dan als volgt uit:</p><pre aria-busy="false" class="hljs json">{
<span class="hljs-attr">"type"</span>: <span class="hljs-string">"https://content.omgevingswet.overheid.nl/id/&lt;c&gt;/ValidatieFout"</span>,
<span class="hljs-attr">"title"</span>: <span class="hljs-string">"Hier staat wat er is misgegaan…"</span>,
<span class="hljs-attr">"status"</span>: <span class="hljs-number">400</span>,
<span class="hljs-attr">"invalid-params"</span>: [{
  <span class="hljs-attr">"type"</span>: <span class="hljs-string">"https://content.omgevingswet.overheid.nl/id/&lt;c&gt;/validatie/Voornaam"</span>,
<span class="hljs-attr">"name"</span>: <span class="hljs-string">"voornaam"</span>,
<span class="hljs-attr">"reason"</span>: <span class="hljs-string">"De voornaam mag geen speciale karakters bevatten."</span>
}, {
<span class="hljs-attr">"type"</span>: <span class="hljs-string">" https://content.../&lt;c&gt;/fouten/validatie/Wachtwoord"</span>,
<span class="hljs-attr">"name"</span>: <span class="hljs-string">"wachtwoord"</span>,
<span class="hljs-attr">"reason"</span>: <span class="hljs-string">"Het wachtwoord is verplicht."</span>
}],
<span class="hljs-attr">"instance"</span>: <span class="hljs-string">"urn:uuid:4017fabc-1b28-11e8-accf-0ed5f89f718b"</span> // De fout-instantie
}</pre><blockquote>
<p><a href="#api-46">API principe: Foutafhandeling is gestandaardiseerd</a></p>
</blockquote><section id="http-statuscodes"><h4 id="x4-13-1-http-statuscodes"><span class="secno">4.13.1 </span>HTTP statuscodes</h4><p>HTTP definieert een hele reeks gestandaardiseerde statuscodes die gebruikt dienen te worden door API's. Deze helpen de gebruikers van de API's bij het afhandelen van fouten.  </p><blockquote>
<p><a href="#api-47">API principe: API's passen de verplichte HTTP statuscodes toe</a></p>
</blockquote><p>Samenvatting HTTP-operaties in combinatie met de primaire HTTP statuscodes:</p><table>
<thead>
<tr>
<th>Operatie</th>
<th>CRUD</th>
<th>Gehele collectie (bijvoorbeeld /resource)<br>Specifieke item (bijvoorbeeld <code>/resource/\&lt;id&gt;</code>)</th>
</tr>
</thead>
<tbody><tr>
<td><code>POST</code></td>
<td>Create</td>
<td>201 (Created), HTTP header <code>Location</code> met de URI van de nieuwe resource (<code>/resource/\&lt;id&gt;</code>)<br>405 (Method Not Allowed), 409 (Conflict) als de resource al bestaat</td>
</tr>
<tr>
<td><code>GET</code></td>
<td>Read</td>
<td>200 (OK), lijst van resources. Gebruik pagineren, filteren en sorteren om het werken met grote lijsten te vereenvoudigen<br>200 (OK) enkele resource, 404 (Not Found) als ID niet bestaat of ongeldig is</td>
</tr>
<tr>
<td><code>PUT</code></td>
<td>Update</td>
<td>405 (Method Not Allowed), behalve als het de bedoeling is om elke resource in een collectie te wijzigen of vervangen<br>409 als een wijziging niet mogelijk is vanwege de huidige toestand van de instantie<br>200 (OK) of 204 (No Content), 404 (Not Found) als ID niet bestaat of ongeldig is</td>
</tr>
<tr>
<td><code>PATCH</code></td>
<td>Update</td>
<td>405 (Method Not Allowed), behalve als het de bedoeling is de gehele collectie te vervangen. <br>409 als een wijziging niet mogelijk is vanwege de huidige toestand van de instantie.<br>200 (OK) of 204 (No Content), 404 (Not Found) als ID niet bestaat of ongeldig is</td>
</tr>
<tr>
<td><code>DELETE</code></td>
<td>Delete</td>
<td>405 (Method Not Allowed), behalve als het de bedoeling is de gehele collectie te verwijderen<br>200 (OK) of 404 (Not Found) als ID niet bestaat of ongeldig is</td>
</tr>
</tbody></table><p>Hieronder een korte lijst met een beschrijving van de HTTP statuscodes die minimaal worden toegepast:</p><table>
<thead>
<tr>
<th>HTTP statuscode</th>
<th>Toelichting</th>
</tr>
</thead>
<tbody><tr>
<td>200 OK</td>
<td>Reactie op een succesvolle <code>GET</code>, <code>PUT</code>, patch of <code>DELETE</code>. Ook geschikt voor <code>POST</code> die niet resulteert in een creatie</td>
</tr>
<tr>
<td>201 Created</td>
<td>Reactie op een <code>POST</code> die resulteert in een creatie. Moet worden gecombineerd met een locatie-header die wijst naar de locatie van de nieuwe resource</td>
</tr>
<tr>
<td>204 No Content</td>
<td>Reactie op een succesvol verzoek die geen inhoud zal teruggeven (zoals een <code>DELETE</code>)</td>
</tr>
<tr>
<td>304 Not Modified</td>
<td>Gebruikt wanneer HTTP caching headers worden toegepast</td>
</tr>
<tr>
<td>400 Bad Request</td>
<td>Het verzoek is onjuist, bijvoorbeeld als het verzoek (body) niet kan worden geïnterpreteerd</td>
</tr>
<tr>
<td>401 Unauthorized</td>
<td>Als er geen of ongeldige authenticatie details worden verstrekt. Ook handig om een authenticatie-venster te tonen als de API wordt gebruikt vanuit een browser</td>
</tr>
<tr>
<td>403 Forbidden</td>
<td>Als de authenticatie gelukt is maar de geverifieerde gebruiker geen toegangsrechten heeft voor de resource</td>
</tr>
<tr>
<td>404 Not Found</td>
<td>Wanneer een niet-bestaande resource is opgevraagd</td>
</tr>
<tr>
<td>405 Method Not Allowed</td>
<td>Wanneer een HTTP-methode wordt gebruikt die niet is toegestaan voor de geauthentiseerde gebruiker</td>
</tr>
<tr>
<td>406 Not Acceptable</td>
<td>Wordt teruggegeven als het gevraagde formaat niet ondersteund wordt (onderdeel van content negotiation)</td>
</tr>
<tr>
<td>409 Conflict</td>
<td>Het verzoek kon ik niet worden verwerkt als het gevolg van een conflict met de huidige toestand van de resource</td>
</tr>
<tr>
<td>410 Gone</td>
<td>Geeft aan dat de resource niet langer op het eindpunt beschikbaar is. Nuttig als een overkoepelend antwoord voor oude API versies</td>
</tr>
<tr>
<td>412 Precondition Failed</td>
<td>De preconditie die wordt gegeven door één of meer velden in de request-header, ontbraken of zijn na validatie op de server afgekeurd</td>
</tr>
<tr>
<td>415 Unsupported Media Type</td>
<td>Als een verkeerd content-type als onderdeel van het verzoek werd meegegeven</td>
</tr>
<tr>
<td>422 Unprocessable Entity</td>
<td>Gebruikt voor een verzoek (body) dat correct is maar dat de server niet kan verwerken</td>
</tr>
<tr>
<td>429 Too Many Requests</td>
<td>Wanneer een aanvraag wordt afgewezen als het aantal verzoeken per tijdsperiode is overschreden</td>
</tr>
<tr>
<td>500 Internal Server Error</td>
<td>Wanneer een onverwachte fout optreedt en het beantwoorden van het verzoek wordt verhinderd</td>
</tr>
<tr>
<td>503 Service Unavailable</td>
<td>Wordt gebruikt als de API niet beschikbaar is (bijv. door gepland onderhoud)</td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
<tr>
<td></td>
<td></td>
</tr>
</tbody></table></section></section></section>
    <section data-format="markdown" aria-busy="false" id="beveiliging"><!--OddPage--><h2 id="x5-beveiliging"><span class="secno">5. </span>Beveiliging</h2><blockquote>
<p><em>Doel van dit hoofdstuk: Hoe kan je je applicatie landschap inrichten zodat je APIs kan aanbieden. Welke componenten zijn hiervoor nodig. Hoe ga je om met opschalen, beschikbaarheid. Wat zijn afwegingen om beveiliging al dan niet toe te passen.</em></p>
</blockquote><p>Voor de eerste versie van de Nederlandse API strategie bevat dit hoofdstuk alleen het onderwerp OAuth. voor toekomstige versies voorzien we mogelijk de volgende onderwerpen.
wettelijke kaders en hun uitwerking in de praktijk: </p><ul>
<li><a href="https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/algemene-informatie-avg">AVG</a></li>
<li><a href="https://www.digitaleoverheid.nl/dossiers/wet-digitale-overheid/">Wet digitale overheid (concept)</a></li>
</ul><p>Generieke beveiligingsonderwerpen: </p><ul>
<li>Privacy by Design</li>
<li><a href="https://www.earonline.nl/index.php/BIR-Baseline_Informatiebeveiliging_Rijksdienst">BIR</a></li>
<li><a href="https://www.earonline.nl/index.php/Besluit_Voorschrift_Informatiebeveiliging_Rijksdienst_Bijzondere_Informatie_(VIRBI)">VIR(BI)</a></li>
<li>Indentificatie &amp; Autorisatie</li>
<li><a href="https://openid.net/connect/">Authenticatie (OpenID-Connect)</a></li>
<li>Ondertekening en versleuteling (wanneer en waarom pas je deze technieken toe)</li>
</ul><section id="nederlands-profiel-oauth"><h3 id="x5-1-nederlands-profiel-oauth"><span class="secno">5.1 </span>Nederlands profiel OAuth</h3><p>Deze sectie beschrijft de uitgangspunten voor het Nederlands profiel OAuth. het profiel zelf is een op zichzelfstaand document.</p><section id="expert-advies-oauth-forum-standaardisatie"><h4 id="x5-1-1-expert-advies-oauth-forum-standaardisatie"><span class="secno">5.1.1 </span>Expert advies OAuth forum standaardisatie</h4><p>Het opstellen van deze standaard is voortgekomen uit het Expert advies OAuth [<cite><a class="bibref" href="#bib-expert">Expert</a></cite>]. Daarin wordt aangeraden eerst een nederlands profiel op stellen alvorens OAuth op de pas toe of leg uit lijst van het forum standaardisatie te plaatsen.</p></section><section id="werkingsgebied-standaard"><h4 id="x5-1-2-werkingsgebied-standaard"><span class="secno">5.1.2 </span>Werkingsgebied standaard</h4><p>Als organisatorisch werkingsgebied wordt geadviseerd:
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen)
en instellingen uit de (semi-) publieke sector</p></section><section id="toepassingsgebied-standaard"><h4 id="x5-1-3-toepassingsgebied-standaard"><span class="secno">5.1.3 </span>Toepassingsgebied standaard</h4><p>Als functioneel toepassingsgebied wordt voorgesteld:
Het gebruik van OAuth 2.0 is verplicht voor applicaties waarbij gebruikers
(resource owner) toestemming geven (impliciet of expliciet) aan een
dienst (van een derde) om namens hem toegang te krijgen tot specifieke
gegevens via een RESTful API.
Het gaat dan om een RESTful API waar de resource owner recht tot
toegang heeft.</p></section><section id="openid-connect-buiten-scope"><h4 id="x5-1-4-openid-connect-buiten-scope"><span class="secno">5.1.4 </span>OpenID connect buiten scope</h4><p>de expertgroep is op 7 juli en op 22 september 2016 bijeengekomen
om de standaarden, de aandachtspunten en openstaande vragen uit
het voorbereidingsdossier te bespreken. Daarbij is vastgesteld dat
OpenID Connect niet voor opneming op de lijst open standaarden in
aanmerking komt.</p></section><section id="aansluiting-op-internationale-standaard-igov"><h4 id="x5-1-5-aansluiting-op-internationale-standaard-igov"><span class="secno">5.1.5 </span>Aansluiting op internationale standaard iGov</h4><p>Het Nederlands profiel OAuth baseren we het internationale iGOV OAuth 2.0 profiel [<cite><a class="bibref" href="#bib-igov.oauth2">iGOV.OAuth2</a></cite>] we nemen niet alle keuzes van dit internationale profiel over aangezien dit een aantal keuzes bevat die sterk leunen op de amerikaanse situatie. Het kan het best beschouwd worden als een fork waar we in ons profiel aangeven waar we afwijken.
iGov heeft twee naast het OAuth profiel ook een OpenID connect profiel [<cite><a class="bibref" href="#bib-igov.openid">iGOV.OpenID</a></cite>] wanneer mogelijk ook OpenID connect op de pas toe of leg uit lijst van het Forum standaardisatie komt kan dit Nederlandse profiel uitgebreid worden met een Nederlandse variant van het iGov OpenID Connect profiel. De usecase die hieronder wordt beschreven sorteerd daar al op voor.</p><p>Het Nederlands profiel OAuth is hier te vinden:
<a href="https://geonovum.github.io/KP-APIs-OAuthNL/#dutch-government-assurance-profile-for-oauth-2-0">https://geonovum.github.io/KP-APIs-OAuthNL/#dutch-government-assurance-profile-for-oauth-2-0</a></p></section></section></section>
    <section data-format="markdown" aria-busy="false" id="bijlagen"><!--OddPage--><h2 id="x6-bijlagen"><span class="secno">6. </span>Bijlagen</h2><section id="api-principes"><h3 id="x6-1-api-principes"><span class="secno">6.1 </span><a name="api-principes"></a>API Principes</h3><section id="api-01-api-s-garanderen-dat-operaties-veilig-en-of-idempotent-zijn"><h4 id="x6-1-1-api-01-api-s-garanderen-dat-operaties-veilig-en-of-idempotent-zijn"><span class="secno">6.1.1 </span><a name="api-01"></a>API-01: API's garanderen dat operaties "Veilig" en/of "Idempotent" zijn</h4><p>Operaties van een API zijn gegarandeerd "Veilig" en/of "Idempotent" als dat zo
is bepaald.</p></section><section id="api-02-toestandsinformatie-wordt-nooit-op-de-server-opgeslagen"><h4 id="x6-1-2-api-02-toestandsinformatie-wordt-nooit-op-de-server-opgeslagen"><span class="secno">6.1.2 </span><a name="api-02"></a>API-02: Toestandsinformatie wordt nooit op de server opgeslagen</h4><p>De client-toestand wordt volledig bijgehouden door de client zelf.</p></section><section id="api-03-alleen-standaard-http-operaties-worden-toegepast"><h4 id="x6-1-3-api-03-alleen-standaard-http-operaties-worden-toegepast"><span class="secno">6.1.3 </span><a name="api-03"></a>API-03: Alleen standaard HTTP-operaties worden toegepast</h4><p>Een RESTful API is een application programming interface die de standaard
HTTP-operaties GET, PUT, POST, PATCH en DELETE gebruikt.</p></section><section id="api-04-definitie-van-het-koppelvlak-is-in-het-nederlands-tenzij-er-sprake-is-van-een-officieel-engelstalig-begrippenkader"><h4 id="x6-1-4-api-04-definitie-van-het-koppelvlak-is-in-het-nederlands-tenzij-er-sprake-is-van-een-officieel-engelstalig-begrippenkader"><span class="secno">6.1.4 </span><a name="api-04"></a>API-04: Definitie van het koppelvlak is in het Nederlands tenzij er sprake is van een officieel Engelstalig begrippenkader</h4><p>Resources en de achterliggende entiteiten, velden, etc. (het informatiemodel en
het externe koppelvlak) worden in het Nederlands gedefinieerd. Engels is
toegestaan indien er sprake is van een officieel Engelstalig begrippenkader.</p></section><section id="api-05-resource-namen-zijn-zelfstandige-naamwoorden-in-het-meervoud"><h4 id="x6-1-5-api-05-resource-namen-zijn-zelfstandige-naamwoorden-in-het-meervoud"><span class="secno">6.1.5 </span><a name="api-05"></a>API-05: Resource namen zijn zelfstandige naamwoorden in het meervoud</h4><p>Namen van resources zijn zelfstandige naamwoorden en altijd in het meervoud,
zoals aanvragen, activiteiten, vergunningen. Ook als het om het een enkel
resource betreft.</p></section><section id="api-06-relaties-van-geneste-resources-worden-bij-voorkeur-binnen-het-eindpunt-gecreeerd"><h4 id="x6-1-6-api-06-relaties-van-geneste-resources-worden-bij-voorkeur-binnen-het-eindpunt-gecreeerd"><span class="secno">6.1.6 </span><a name="api-06"></a>API-06: Relaties van geneste resources worden bij voorkeur binnen het eindpunt gecreëerd</h4><p>Als een relatie alleen kan bestaan binnen een andere resource (geneste
resource), wordt de relatie bij voorkeur innen het eindpunt gecreëerd. De
afhankelijke resource heeft in dat geval geen eigen eindpunt</p></section><section id="api-07-resources-ondersteunen-bij-voorkeur-lazy-en-eager-laden-van-relaties"><h4 id="x6-1-7-api-07-resources-ondersteunen-bij-voorkeur-lazy-en-eager-laden-van-relaties"><span class="secno">6.1.7 </span><a name="api-07"></a>API-07: Resources ondersteunen bij voorkeur "lazy" en "eager" laden van relaties</h4><p>Resources die een n-op-n relatie kennen ondersteunen bij voorkeur zowel het
teruggeven van identificaties van gerelateerde resources (lazy loading) als het
teruggeven van de resources zelf (eager loading).</p></section><section id="api-08-gelinkte-resources-worden-expliciet-en-selectief-mee-geladen"><h4 id="x6-1-8-api-08-gelinkte-resources-worden-expliciet-en-selectief-mee-geladen"><span class="secno">6.1.8 </span><a name="api-08"></a>API-08: Gelinkte resources worden expliciet en selectief mee-geladen</h4><p>Gelinkte resources worden expliciet en selectief mee-geladen als onderdeel van
een resource verzoek middels de expand query-parameter.</p></section><section id="api-09-indien-representatie-op-maat-wordt-ondersteund-dan-conform-dit-principe"><h4 id="x6-1-9-api-09-indien-representatie-op-maat-wordt-ondersteund-dan-conform-dit-principe"><span class="secno">6.1.9 </span><a name="api-09"></a>API-09: Indien representatie op maat wordt ondersteund, dan conform dit principe.</h4><p>Het is mogelijk om een door komma's gescheiden lijst van veldennamen op te geven
met de query-parameter fields om een representatie op maat te krijgen. Als
niet-bestaande veldnamen worden meegegeven wordt een 400 Bad Request
teruggegeven.</p></section><section id="api-10-acties-die-niet-passen-in-het-crud-model-worden-een-sub-resource"><h4 id="x6-1-10-api-10-acties-die-niet-passen-in-het-crud-model-worden-een-sub-resource"><span class="secno">6.1.10 </span><a name="api-10"></a>API-10: Acties die niet passen in het CRUD model worden een sub-resource</h4><p>"Acties die niet passen in het CRUD model worden op de volgende manieren
opgelost:</p><ul>
<li><p>Behandel een actie als een sub-resource.</p>
</li>
<li><p>Alleen in uitzonderlijke gevallen wordt een actie met een eigen eindpunt
opgelost."</p>
</li>
</ul></section><section id="api-11-de-verbinding-is-altijd-versleuteld-met-minimaal-tls-v1-2"><h4 id="x6-1-11-api-11-de-verbinding-is-altijd-versleuteld-met-minimaal-tls-v1-2"><span class="secno">6.1.11 </span><a name="api-11"></a>API-11: De verbinding is ALTIJD versleuteld met minimaal TLS V1.2</h4><p>De verbinding is ALTIJD versleuteld op basis van minimaal TLS V1.2. Geen
uitzonderingen, dus overal en altijd. In het geval van toegangsbeperking of
doelbinding wordt tweezijdig TLS toegepast. Doordat de verbinding altijd is
versleuteld maakt het authenticatiemechanisme eenvoudiger. Hierdoor wordt het
mogelijk om eenvoudige toegangstokens te gebruiken in plaats van toegangstokens
met encryptie.</p></section><section id="api-12-api-s-zijn-bij-voorkeur-alleen-bruikbaar-met-behulp-van-een-api-key"><h4 id="x6-1-12-api-12-api-s-zijn-bij-voorkeur-alleen-bruikbaar-met-behulp-van-een-api-key"><span class="secno">6.1.12 </span><a name="api-12"></a>API-12: API's zijn bij voorkeur alleen bruikbaar met behulp van een API-key</h4><p>Voor alle API's wordt bij voorkeur minimaal een registratie inclusief acceptatie
van de fair use voorwaarden vereist. Op basis hiervan zal dan een API-key wordt
uitgegeven.</p></section><section id="api-13-tokens-worden-niet-gebruikt-in-query-parameters"><h4 id="x6-1-13-api-13-tokens-worden-niet-gebruikt-in-query-parameters"><span class="secno">6.1.13 </span><a name="api-13"></a>API-13: Tokens worden niet gebruikt in query parameters</h4><p>Er is een inherent beveiligingsprobleem bij het gebruik van een query parameter
voor tokens omdat de meeste webservers queryparameters in de server logs
wegschrijven.</p></section><section id="api-14-autorisatie-is-waar-nodig-gebaseerd-op-oauth-2-0"><h4 id="x6-1-14-api-14-autorisatie-is-waar-nodig-gebaseerd-op-oauth-2-0"><span class="secno">6.1.14 </span><a name="api-14"></a>API-14: Autorisatie is waar nodig gebaseerd op OAuth 2.0</h4><p>Een REST API mag geen state hebben. Elk verzoek moet daarom zijn voorzien van
een token. OAuth 2.0 is hiervoor de voorgeschreven standaard, hoofstuk
Beveiliging bevat meer informatie.</p></section><section id="api-15-authenticatie-voor-api-s-met-toegangsbeperking-of-doelbinding-is-gebaseerd-op-pkioverheid"><h4 id="x6-1-15-api-15-authenticatie-voor-api-s-met-toegangsbeperking-of-doelbinding-is-gebaseerd-op-pkioverheid"><span class="secno">6.1.15 </span><a name="api-15"></a>API-15: Authenticatie voor API's met toegangsbeperking of doelbinding is gebaseerd op PKIoverheid</h4><p>In het geval van API's met toegangsbeperking of doelbinding zal er aanvullend
sprake zijn van authenticatie op basis PKIoverheid certificaten en tweezijdig
TLS.</p></section><section id="api-16-documentatie-is-gebaseerd-op-oas-3-0-of-hoger"><h4 id="x6-1-16-api-16-documentatie-is-gebaseerd-op-oas-3-0-of-hoger"><span class="secno">6.1.16 </span><a name="api-16"></a>API-16: Documentatie is gebaseerd op OAS 3.0 of hoger</h4><p>Specificaties (documentatie) is beschikbaar als Open API Specification (OAS)
V3.0 of hoger.</p></section><section id="api-17-documentatie-is-in-het-nederlands-tenzij-er-sprake-is-van-bestaande-documentatie-in-het-engels-of-er-sprake-is-van-een-officieel-engelstalig-begrippenkader"><h4 id="x6-1-17-api-17-documentatie-is-in-het-nederlands-tenzij-er-sprake-is-van-bestaande-documentatie-in-het-engels-of-er-sprake-is-van-een-officieel-engelstalig-begrippenkader"><span class="secno">6.1.17 </span><a name="api-17"></a>API-17: Documentatie is in het Nederlands tenzij er sprake is van bestaande documentatie in het Engels of er sprake is van een officieel Engelstalig begrippenkader</h4><p>De voertaal voor de API's is Nederlands. Het is wel toegestaan om te verwijzen
naar bestaande documentatie is het Engels en als er sprake is van een officieel
Engelstalig begrippenkader.</p></section><section id="api-18-wijzigingen-worden-gepubliceerd-met-een-uitfaseringschema"><h4 id="x6-1-18-api-18-wijzigingen-worden-gepubliceerd-met-een-uitfaseringschema"><span class="secno">6.1.18 </span><a name="api-18"></a>API-18: Wijzigingen worden gepubliceerd met een uitfaseringschema</h4><p>Koppelvlak wijzigingen worden met bijbehorende planning op een publiek
toegankelijke blog als changelog bekendgemaakt en via een mailinglijst.</p></section><section id="api-19-de-overgangsperiode-bij-een-nieuwe-api-versie-is-maximaal-1-jaar"><h4 id="x6-1-19-api-19-de-overgangsperiode-bij-een-nieuwe-api-versie-is-maximaal-1-jaar"><span class="secno">6.1.19 </span><a name="api-19"></a>API-19: De overgangsperiode bij een nieuwe API versie is maximaal 1 jaar</h4><p>Oude en nieuwe versies (max. 3) van een API worden voor een beperkte
overgangsperiode (1 jaar) naast elkaar aangeboden.</p></section><section id="api-20-alleen-het-major-versienummer-is-onderdeel-van-de-uri"><h4 id="x6-1-20-api-20-alleen-het-major-versienummer-is-onderdeel-van-de-uri"><span class="secno">6.1.20 </span><a name="api-20"></a>API-20: Alleen het major versienummer is onderdeel van de URI</h4><p>In de URI wordt alleen het major versienummer opgenomen. Minor versienummer en
patch versienummer worden in de header van het bericht zelf opgenomen. Het
uitgangspunt dat hierbij wordt gehanteerd is dat minor versies en patches geen
impact hebben op bestaande code, maar major versies wel.</p></section><section id="api-21-gebruikers-van-een-deprecated-api-worden-actief-gewaarschuwd"><h4 id="x6-1-21-api-21-gebruikers-van-een-deprecated-api-worden-actief-gewaarschuwd"><span class="secno">6.1.21 </span><a name="api-21"></a>API-21 Gebruikers van een ‘deprecated' API worden actief gewaarschuwd</h4><p>Met een <code>Warning</code> response-header in alle responses van de oude API's worden
gebruikers gewaarschuwd voor de aanstaande uitfasering.</p></section><section id="api-22-json-first-api-s-ontvangen-en-versturen-json"><h4 id="x6-1-22-api-22-json-first-api-s-ontvangen-en-versturen-json"><span class="secno">6.1.22 </span><a name="api-22"></a>API-22: JSON first - API's ontvangen en versturen JSON</h4><p>API's ontvangen en versturen JSON.</p></section><section id="api-23-api-s-zijn-optioneel-voorzien-van-een-json-schema"><h4 id="x6-1-23-api-23-api-s-zijn-optioneel-voorzien-van-een-json-schema"><span class="secno">6.1.23 </span><a name="api-23"></a>API-23: API's zijn optioneel voorzien van een JSON Schema</h4><p>API's ondersteunen JSON Schema (&lt;http: json-schema.org),=""&gt;zodat validatie
mogelijk (optioneel) is en vereenvoudigd wordt.</p></section><section id="api-24-content-negotiation-wordt-volledig-ondersteund"><h4 id="x6-1-24-api-24-content-negotiation-wordt-volledig-ondersteund"><span class="secno">6.1.24 </span><a name="api-24"></a>API-24: Content negotiation wordt volledig ondersteund</h4><p>Andere representaties zoals XML en RDF worden naast JSON via het standaard HTTP
content negotiation mechanisme ondersteund. Als het gewenste formaat niet
geleverd kan worden zal er een 406 Not Acceptable worden teruggegeven.</p></section><section id="api-25-api-s-controleren-dat-de-content-type-header-is-ingesteld"><h4 id="x6-1-25-api-25-api-s-controleren-dat-de-content-type-header-is-ingesteld"><span class="secno">6.1.25 </span><a name="api-25"></a>API-25: API's controleren dat de Content-Type header is ingesteld</h4><p>Er wordt gecontroleerd of het <code>Content-Type</code> header is ingesteld op
<code>application/json</code> of andere ondersteunde content types, anders wordt HTTP
statuscode <code>415 Unsupported Media Type</code> geretourneerd.</p></section><section id="api-26-woorden-in-veldnamen-zijn-gedefinieerd-in-camelcase"><h4 id="x6-1-26-api-26-woorden-in-veldnamen-zijn-gedefinieerd-in-camelcase"><span class="secno">6.1.26 </span><a name="api-26"></a>API-26: Woorden in veldnamen zijn gedefinieerd in <code>camelCase</code></h4><p>Een veldnaam begint met kleine letters (eerste woord) en ieder opvolgend woord
begint met een hoofdletter.</p></section><section id="api-27-pretty-print-is-standaard-uitgeschakeld"><h4 id="x6-1-27-api-27-pretty-print-is-standaard-uitgeschakeld"><span class="secno">6.1.27 </span><a name="api-27"></a>API-27: Pretty print is standaard uitgeschakeld</h4><p>Het uitgangspunt is dat REST clients en browsers (al dan niet met extensies)
JSON netjes geformatteerd kunnen weergeven.</p></section><section id="api-28-een-json-response-heeft-geen-omhullende-envelop"><h4 id="x6-1-28-api-28-een-json-response-heeft-geen-omhullende-envelop"><span class="secno">6.1.28 </span><a name="api-28"></a>API-28: Een JSON-response heeft geen omhullende envelop</h4><p>Er worden standaard geen enveloppen toegepast.</p></section><section id="api-29-api-s-ondersteunen-json-gecodeerde-post-put-en-patch-payloads"><h4 id="x6-1-29-api-29-api-s-ondersteunen-json-gecodeerde-post-put-en-patch-payloads"><span class="secno">6.1.29 </span><a name="api-29"></a>API-29: API's ondersteunen JSON gecodeerde POST, PUT en PATCH payloads</h4><p>API's ondersteunen minimaal JSON gecodeerde <code>POST</code>, <code>PUT</code> en <code>PATCH</code> payloads.
Encoded form data (<code>application/x-www-form-urlencoded</code>) wordt niet ondersteund.</p></section><section id="api-30-filter-query-parameters-zijn-gelijk-aan-de-velden-waarop-gefilterd-kan-worden"><h4 id="x6-1-30-api-30-filter-query-parameters-zijn-gelijk-aan-de-velden-waarop-gefilterd-kan-worden"><span class="secno">6.1.30 </span><a name="api-30"></a>API-30: Filter query-parameters zijn gelijk aan de velden waarop gefilterd kan worden</h4><p>Gebruik unieke query-parameters die gelijk zijn aan de velden waarop gefilterd
kan worden.</p></section><section id="api-31-voor-sorteren-wordt-de-query-parameter-sorteer-gebruikt"><h4 id="x6-1-31-api-31-voor-sorteren-wordt-de-query-parameter-sorteer-gebruikt"><span class="secno">6.1.31 </span><a name="api-31"></a>API-31: Voor sorteren wordt de query-parameter sorteer gebruikt</h4><p>De generieke query-parameter <code>sorteer</code> wordt gebruikt voor het specificeren van
door komma's gescheiden velden waarop gesorteerd moet worden. Door een minteken
(<code>-</code>) voor de veldnaam te zetten wordt het veld in aflopende sorteervolgorde
gesorteerd.</p></section><section id="api-32-voor-vrije-tekst-zoeken-wordt-een-query-parameter-zoek-gebruikt"><h4 id="x6-1-32-api-32-voor-vrije-tekst-zoeken-wordt-een-query-parameter-zoek-gebruikt"><span class="secno">6.1.32 </span><a name="api-32"></a>API-32: Voor vrije-tekst zoeken wordt een query-parameter zoek gebruikt</h4><p>API's die vrije-tekst zoeken ondersteunen doen dit middels de query-parameter
<code>zoek</code>.</p></section><section id="api-33-api-s-die-vrije-tekst-zoeken-ondersteunen-kunnen-overweg-met-twee-soorten-wildcard-karakters-en"><h4 id="x6-1-33-api-33-api-s-die-vrije-tekst-zoeken-ondersteunen-kunnen-overweg-met-twee-soorten-wildcard-karakters-en"><span class="secno">6.1.33 </span><a name="api-33"></a>API-33: API's die vrije-tekst zoeken ondersteunen kunnen overweg met twee soorten wildcard karakters: <code>*</code> en <code>?</code></h4><p>API's die vrije-tekst zoeken ondersteunen kunnen overweg met twee soorten
wildcard karakters:</p><ul>
<li><p><code>*</code> Komt overeen met nul of meer (niet-spatie) karakters</p>
</li>
<li><p><code>?</code> Komt precies overeen met één (niet-spatie) karakter</p>
</li>
</ul></section><section id="api-34-geo-api-s-ontvangen-en-versturen-bij-voorkeur-geojson"><h4 id="x6-1-34-api-34-geo-api-s-ontvangen-en-versturen-bij-voorkeur-geojson"><span class="secno">6.1.34 </span><a name="api-34"></a>API-34: GEO API's ontvangen en versturen bij voorkeur GeoJSON</h4><p>Voor GEO API's wordt bij voorkeur de standaard GeoJSON
(<a href="https://tools.ietf.org/html/rfc7946">RFC-7946</a>) gebruikt.</p></section><section id="api-35-geojson-is-onderdeel-van-de-embedded-resource-in-de-json-response"><h4 id="x6-1-35-api-35-geojson-is-onderdeel-van-de-embedded-resource-in-de-json-response"><span class="secno">6.1.35 </span><a name="api-35"></a>API-35: GeoJSON is onderdeel van de embedded resource in de JSON response</h4><p>Als een JSON (<code>application/json</code>) response een geometrie bevat, dan wordt deze
geometrie op dezelfde manier teruggegeven als het <code>geometry</code> object van GeoJSON
(<a href="https://tools.ietf.org/html/rfc7946">RFC-7946</a>):</p><pre aria-busy="false" class="hljs json">{
 <span class="hljs-attr">"type"</span>: <span class="hljs-string">"Point"</span>,
 <span class="hljs-attr">"coordinates"</span>: [<span class="hljs-number">125.6</span>, <span class="hljs-number">10.1</span>]
}</pre></section><section id="api-36-voor-geo-queries-is-een-post-end-point-beschikbaar"><h4 id="x6-1-36-api-36-voor-geo-queries-is-een-post-end-point-beschikbaar"><span class="secno">6.1.36 </span><a name="api-36"></a>API-36: Voor GEO queries is een POST end-point beschikbaar</h4><p>Geometrische queries worden in een <code>POST</code> naar een apart endpoint verzonden.</p></section><section id="api-37-post-end-points-zijn-uitbreidbaar-voor-gecombineerde-vragen"><h4 id="x6-1-37-api-37-post-end-points-zijn-uitbreidbaar-voor-gecombineerde-vragen"><span class="secno">6.1.37 </span><a name="api-37"></a>API-37: POST end-points zijn uitbreidbaar voor gecombineerde vragen</h4><p>De geometrie is uitbreidbaar met andere properties voor gecombineerde queries.</p></section><section id="api-38-resultaten-van-een-globale-geometrische-zoekvraag-worden-in-de-relevante-geometrische-context-geplaatst"><h4 id="x6-1-38-api-38-resultaten-van-een-globale-geometrische-zoekvraag-worden-in-de-relevante-geometrische-context-geplaatst"><span class="secno">6.1.38 </span><a name="api-38"></a>API-38: Resultaten van een globale geometrische zoekvraag worden in de relevante geometrische context geplaatst</h4><p>In het geval van een globale zoekvraag <code>/api/v1/_zoek</code> is het noodzakelijk om de
resultaten in een relevante context te plaatsen, omdat resultaten van
verschillende collecties door elkaar teruggegeven worden. Met de property <code>type</code>
kan in enkelvoud de naam van de collectie waar het resultaat toe behoort
uitgedrukt worden.</p></section><section id="api-39-het-voorkeur-coordinatenstelsels-crs-is-etrs89-maar-het-crs-wordt-niet-impliciet-geselecteerd"><h4 id="x6-1-39-api-39-het-voorkeur-coordinatenstelsels-crs-is-etrs89-maar-het-crs-wordt-niet-impliciet-geselecteerd"><span class="secno">6.1.39 </span><a name="api-39"></a>API-39: Het voorkeur-coördinatenstelsels (CRS) is ETRS89, maar het CRS wordt niet impliciet geselecteerd</h4><p>Algemeen gebruik van het Europese ETRS89 coördinatenstelsel (CRS) heeft sterk de
voorkeur, maar dit wordt niet door API's afgedwongen als de "default". Derhalve
moet het te gebruiken CRS in elke aanroep expliciet worden opgegeven.</p></section><section id="api-40-het-coordinatenstelsel-crs-van-de-vraag-en-het-antwoord-wordt-in-de-header-meegestuurd"><h4 id="x6-1-40-api-40-het-coordinatenstelsel-crs-van-de-vraag-en-het-antwoord-wordt-in-de-header-meegestuurd"><span class="secno">6.1.40 </span><a name="api-40"></a>API-40: Het coördinatenstelsel (CRS) van de vraag en het antwoord wordt in de header meegestuurd</h4><p>Het gekozen coördinatenstelsel (CRS) voor zowel de vraag als het antwoord worden
meegestuurd als onderdeel van de request-header en de response-header. Bij het
ontbreken van deze headers wordt <code>412 Precondition Failed</code> teruggegeven. Hiermee
wordt voorkomen dat per abuis met het verkeerde CRS wordt gewerkt</p></section><section id="api-41-het-gewenste-coordinatenstelsel-wordt-op-basis-van-content-negotiation-overeengekomen"><h4 id="x6-1-41-api-41-het-gewenste-coordinatenstelsel-wordt-op-basis-van-content-negotiation-overeengekomen"><span class="secno">6.1.41 </span><a name="api-41"></a>API-41: Het gewenste coördinatenstelsel wordt op basis van content negotiation overeengekomen</h4><p>Het gewenste CRS voor de geometrie in het antwoord (response body) wordt
aangeduid met een <code>Accept-Crs</code> header. Als het gewenste CRS niet geleverd kan
worden zal er een <code>406 Not Acceptable</code> worden teruggegeven.</p></section><section id="api-42-paginering-wordt-gerealiseerd-op-basis-van-json-hal-bij-media-type-application-hal-json"><h4 id="x6-1-42-api-42-paginering-wordt-gerealiseerd-op-basis-van-json-hal-bij-media-type-application-hal-json"><span class="secno">6.1.42 </span><a name="api-42"></a>API-42: Paginering wordt gerealiseerd op basis van JSON+HAL bij media type: application/hal+json</h4><p>Aan de representatie worden twee gereserveerde velden <code>_links</code> (verplicht) en
<code>_embedded</code> (optioneel) toegevoegd. Daarnaast wordt paginerings-metadata als
HTTP headers meegegeven.</p></section><section id="api-43-waar-relevant-wordt-caching-toegepast"><h4 id="x6-1-43-api-43-waar-relevant-wordt-caching-toegepast"><span class="secno">6.1.43 </span><a name="api-43"></a>API-43: Waar relevant wordt caching toegepast</h4><p>Voor caching wordt gebruikt van de HTTP standaard caching mechanismes door het
toevoegen van een aantal extra uitgaande HTTP headers (<code>ETag</code> of
<code>Last-Modified</code>) en functionaliteit om te bepalen of een aantal specifieke
inkomende HTTP headers (<code>If-None-Match</code> of <code>If-Modified-Since</code>).</p></section><section id="api-44-beperken-van-het-aantal-verzoeken-per-tijdsperiode-wordt-aangeraden"><h4 id="x6-1-44-api-44-beperken-van-het-aantal-verzoeken-per-tijdsperiode-wordt-aangeraden"><span class="secno">6.1.44 </span><a name="api-44"></a>API-44: Beperken van het aantal verzoeken per tijdsperiode wordt aangeraden</h4><p>Aangeraden worden om het aantal verzoeken per tijdsperiode te beperken om
overbelasting van servers te voorkomen om een hoog serviceniveau te garanderen.</p></section><section id="api-45-begrenzingen-worden-proactief-gemeld"><h4 id="x6-1-45-api-45-begrenzingen-worden-proactief-gemeld"><span class="secno">6.1.45 </span><a name="api-45"></a>API-45: Begrenzingen worden proactief gemeld</h4><p>Gebruik <code>X-Rate-Limit</code> headers om limieten aan de gebruiker te communiceren en
HTTP statuscode <code>429 Too Many Requests</code> als de limieten overschreden worden.</p></section><section id="api-46-foutafhandeling-is-gestandaardiseerd"><h4 id="x6-1-46-api-46-foutafhandeling-is-gestandaardiseerd"><span class="secno">6.1.46 </span><a name="api-46"></a>API-46: Foutafhandeling is gestandaardiseerd</h4><p>API's ondersteunen de gestandaardiseerde foutmeldingen van de HTTP-statuscodes
400 en 500 reeks inclusief een verwerkbare JSON representatie in lijn met
RFC7807.</p></section><section id="api-47-api-s-passen-de-verplichte-http-statuscodes-toe"><h4 id="x6-1-47-api-47-api-s-passen-de-verplichte-http-statuscodes-toe"><span class="secno">6.1.47 </span><a name="api-47"></a>API-47: API's passen de verplichte HTTP-statuscodes toe</h4><p>De volgende http-statuscodes worden minimaal toegepast: 200, 201, 204, 304, 400,
401, 403, 405, 406, 409, 410, 415, 422, 429, 500, 503.</p></section><section id="api-48-api-endpoints-mogen-geen-trailing-slashes-bevatten"><h4 id="x6-1-48-api-48-api-endpoints-mogen-geen-trailing-slashes-bevatten"><span class="secno">6.1.48 </span><a name="api-48"></a>API-48: API-endpoints mogen géén trailing slashes bevatten</h4><p>URIs die gebruikt worden om collecties van resources of individuele resources op
te vragen eindigen nooit met een trailing slash. Een resource leeft op één
plek/path. Resource paths eindigen zonder slash.</p></section><section id="api-49-gebruik-publieke-api-key"><h4 id="x6-1-49-api-49-gebruik-publieke-api-key"><span class="secno">6.1.49 </span><a name="api-49"></a>API-49: Gebruik "publieke" API-Key</h4><p>In JavaScript dient alleen gebruik te worden gemaakt van een zogenaamde
"restricted" API-key. Dit is API-key die gekoppeld is aan specifieke kenmerken
van de aanroeper (web-app, mobile-app), waaronder een clientId en/of
verwijzer-URL.</p></section><section id="api-50-controleer-toegang-en-gebruik-cors-header"><h4 id="x6-1-50-api-50-controleer-toegang-en-gebruik-cors-header"><span class="secno">6.1.50 </span><a name="api-50"></a>API-50: Controleer toegang en gebruik CORS-header</h4><p>Controleer eerst het domein van de inkomende aanvraag en genereer de
response-header afhankelijk van of dit domein verzoeken mag verzenden of niet
(whitelist). In dat geval wordt alleen dit specifieke domein aan de
response-header <code>Access-Control-Allow-Origin</code> toegevoegd.</p><p>**LET OP: Het is technisch mogelijk om in de Access-Control-Allow-Origin
responsheader een wildcard ("*") terug geven en zo alle bronnen toe te staan.
Dit is een onveilige praktijk!**</p></section><section id="api-51-oas-via-basis-uri-beschikbaar-in-json-formaat"><h4 id="x6-1-51-api-51-oas-via-basis-uri-beschikbaar-in-json-formaat"><span class="secno">6.1.51 </span><a name="api-51"></a>API-51: OAS via basis-URI beschikbaar in JSON-formaat</h4><p>Om te zorgen dat de actuele documentatie altijd publiekelijk toegankelijk is, is
het advies om de inhoud van de Open API Specification op het "root endpoint" van
de API beschikbaar te maken in JSON-formaat:</p><p><code>https://service.omgevingswet.overheid.nl/publiek/catalogus/api/raadplegen/v1</code></p><p>Maakt de OAS behorend bij v1 van deze API beschikbaar.</p><p>Hiermee wordt een unieke plek (die altijd synchroon loopt met de features die de
API biedt) gekoppeld aan de actuele documentatie.</p></section></section><section id="architectuur"><h3 id="x6-2-architectuur"><span class="secno">6.2 </span>Architectuur</h3><blockquote>
<p>  <strong>Let op:</strong> Dit is het hoofdstuk Architectuur in wording.<br>  De onderwerpen in het hoofdstuk staan nog ter discussie, en ze staan er nog
  niet met de bedoeling om normatief en/of best-practice te zijn.</p>
</blockquote><blockquote>
<p>  <em>Dit hoofdstuk gaat in op de vraag: Hoe kan je je applicatie landschap
  inrichten zodat je APIs kan aanbieden. Welke componenten zijn hiervoor
  nodig. Hoe ga je om met opschalen, beschikbaarheid. Wat zijn afwegingen om
  beveiliging al dan niet toe te passen.</em></p>
</blockquote><section id="inleiding-2"><h4 id="x6-2-1-inleiding"><span class="secno">6.2.1 </span>Inleiding</h4><p>Doel van dit hoofdstuk is om een hoog niveau overzicht te geven van relevante onderdelen en concepten en hun samenhang in een op
(REST) API gebaseerde architectuur waarbij gebruik gemaakt wordt van (REST) API's als interface voor de aangeboden (gegevens)diensten. 
Specifiek voor REST API's is dat deze 'Resource' gericht zijn en een uniforme manier bieden om resources te lezen, wijzigen, toevoegen
of verwijderen.</p><p><img src="media/clip02.png" alt=""></p><p>Figuur 1: De plaats van API's bij aanbod en gebruik van (gegevens)diensten;</p><p>Figuur 1 toont de plaats van API's in de gegevensuitwisseling en relevante onderwerpen in deze context. Bij de Dienst afnemer speelt 
het gebruik van API's,  bij de Dienst aanbieder speelt het aanbieden van API's.</p><p>In dit hoofdstuk wordt specifiek ingegaan op de 'aanbod kant': het onderdeel 'Diensten toegang' in het schema.</p></section><section id="diensten-toegang-api-management"><h4 id="x6-2-2-diensten-toegang-api-management"><span class="secno">6.2.2 </span>Diensten toegang &amp; API management</h4><p>Een diensten aanbieder ontsluit zijn diensten middels API's aan een diensten afnemer; om deze API's gecontroleerd aan te bieden 
is management en beheer van de API's van de organisatie noodzakelijk.</p><p>Een organisatie heeft verschillende soorten API's:</p><p><em>Open API's:</em> voor ontsluiten van diensten zonder toegangsbeperking bv open data.</p><p><em>Gesloten API's:</em> voor ontsluiten van diensten met toegangsbeperking bv persoonsgegevens en vertrouwelijke gegevens of diensten voor specifieke partijen.</p><p>Figuur 2 beschrijft vanuit het perspectief van een overheidsorganisatie als dienstaanbieder de onderwerpen die aandacht vragen in een op API's gebaseerde architectuur. Hieronder worden deze onderwerpen uitgebreider toegelicht.</p><p><img src="media/clip04.png" alt=""></p><p>Figuur 2: Onderdelen van een API architectuur - Algemeen overzicht</p><p><strong>API-Gateway</strong></p><p>Dit is het runtime onderdeel dat op de organisatiegrens van de diensten aanbieder de API-aanroepen ontvangt.</p><p><em>Throttling</em><br>Het beschermen van de dienst tegen overbelasting door de hoeveelheid aanvragen te beperken. Een aandachtspunt hierbij is de SLA afspraak die mogelijk hierbij van toepassing is en dat kritische bedrijfsprocessen de vereiste beschikbaarheid verkrijgen of behouden;</p><p><em>Authenticatie</em><br>Het vaststellen van de identiteit van de afnemer van de API;<br>(Zie ook : <a href="https://www.noraonline.nl/wiki/Identity_%26_Access_Management">https://www.noraonline.nl/wiki/Identity_%26_Access_Management</a>)</p><p><em>Autorisatie</em><br>Het bepalen of de afnemer recht heeft tot gebruik van de API;</p><p><em>Routering</em><br>Dit betreft het routeren van de API-aanroep naar de juiste achterliggende applicatie;</p><p><em>Logging</em><br>Dit betreft het loggen van API aanroepen van diensten afnemers;</p><p><strong>API Management</strong></p><p>Dit onderdeel betreft het beheren van de API's van de dienstenaanbieders. Op basis van de registratie van API's kan de life-cycle van de API beheerd worden, de runtime omgeving worden ingericht en partners en developers worden voorzien van informatie over het gebruik van de API's;</p><p><em>Toegang</em>
De dienstaanbieder administreert wie toegang heeft tot welke API. De runtime omgeving (API-gateway) wordt geconfigureerd volgens de gewenste toegangsregels om de toegang te bewaken;</p><p><em>API Meta Data</em>
De dienstaanbieder administreert welke API's door de onderneming aangeboden worden. Dit betreft zowel open API's als gesloten API's;</p><p><em>API Life Cycle</em>
De dienstaanbieder beheert de levenscyclus van de API's (design, test, productie, afvoer);</p><p><em>Monitoring</em>
De dienstaanbieder monitort beschikbaarheid en gebruik van de API's;</p><p><strong>Developer Portal</strong></p><p>Het Developer portal ondersteunt de ontwikkelaar bij het gebruik van API's. Bijvoorbeeld door middel van documentatie, voorbeelden, API-register (overzicht van alle beschikbare API's), sandbox voor experimenten en ook 'onboarding' / aanmelden voor toegang en developer account beheer.</p><p><strong>Applicaties Afnemer &amp; Applicaties Aanbieder</strong></p><p>De applicaties van de afnemer maken gebruik van de diensten van de dienstenaanbieder door het aanroepen van API's. De applicaties van de aanbieder leveren de diensten door het aanbieden van API's.</p><p><strong>Identity Management</strong></p><p>In gevallen waar de identiteit van de dienstenaanvrager van belang is en onderdeel van de toegangs controle en gebruiksmonitoring, is de relatie met het identity management systeem van de organisatie relevant.<br>(Zie ook : <a href="https://www.noraonline.nl/wiki/Begrippen_IAM">https://www.noraonline.nl/wiki/Begrippen_IAM</a>)</p><blockquote>
<p>Punten voor verdere uitwerking in vervolgtrajecten:
-Certificering van (mobile) apps / afnemer applicaties
-Afspraken / standaarden 'Overheid 2 Overheid' (gesloten) API's
-Centrale voorzieningen in de GDI mbt API's bv API-register </p>
</blockquote><p><em>Website:</em></p><p><em>De impact van API's op de architectuur van alle organisaties die hier serieus
mee aan de slag gaan is groot, net als de behoefte aan kennis op dit gebied. De
werkgroep Architectuur buigt zich over vragen rond de volgende onderwerpen: de
impact van het gebruik van API’s op de gehele informatievoorziening van een
organisatie, de kennisopbouw over benodigde architectuur in
overheidsorganisaties en het overzicht en sturing van gewenste beweging naar het
gebruiken van data in plaats van het bezitten van data.</em></p><p>Sec:</p><p>-beschrijving van de impact van (gebruiken van ) API’s op de eigen
informatievoorziening (vanuit bestaande use-cases)</p><p>-Werken aan kennis opbouw over de benodigde architectuur voor het kunnen werken
met API’s</p><p>-sturing en richting geven aan de noodzakelijke beweging van data ‘hebben’ naar
data ‘gebruiken’ bij het werken met API’s.</p><ol>
<li><p>De GitHub tekst over REST API architectuur wordt een tekst over
architectuurthema’s (beveiliging, logging, semantiek, doelbinding etc) om
organisaties en mensen die zich aan het informeren zijn over REST API’s ’s
om hen te helpen bij beslissingsondersteuning</p>
</li>
<li><p>De architectuur tekst in GitHub wordt nog <strong>geen</strong> referentie architectuur:
daarvoor zijn API , methodieken, technieken, standaarden etc op dit moment
in 2018 nog teveel in ontwikkeling en onvoldoende stabiel</p>
</li>
<li><p>Daar waar mogelijk meer stabiele architectuur elementen worden voorzien,
kunnen deze van bv principes, begrippen, bouwstenen, standaarden, wettelijke
grondslagen, beleid en kaders voorzien. Dit is een eerste stap richting in
een nog uit te werken referentie architectuur</p>
</li>
<li><p>Hoofdmoot van het stuk zal zijn om stapsgewijs voor te sorteren op die
elementen, methodieken en technieken die mogelijk stabiel genoeg <strong>kunnen</strong>
gaan worden</p>
</li>
<li><p>Bijvoorbeeld rond NLX: &lt;https: nlx.io="" about=""&gt;</p>
</li>
<li><p>Daarmee geeft de werkgroep Architectuur API inrichting van de NORA
Applicatielaag vanuit API persperctief:
&lt;https: <a href="http://www.noraonline.nl=&quot;&quot;">www.noraonline.nl=""</a> wiki="" applicatielaag=""&gt;</p>
</li>
</ol><blockquote>
<p>  De werkgroep leden hebben in november 2018 gekozen voor de volgende
  thematische indeling:</p>
</blockquote></section><section id="beveiliging-0"><h4 id="x6-2-3-beveiliging"><span class="secno">6.2.3 </span>Beveiliging</h4></section><section id="autorisatie"><h4 id="x6-2-4-autorisatie"><span class="secno">6.2.4 </span>Autorisatie</h4></section><section id="semantiek"><h4 id="x6-2-5-semantiek"><span class="secno">6.2.5 </span>Semantiek</h4><blockquote>
<p>  Noemen: ontwikkelingen op het gebied van Linked (open) Data, stelsel van
  overheidsgegevens en link: &lt;https: <a href="http://www.noraonline.nl=&quot;&quot;">www.noraonline.nl=""</a> wiki="" semantiek=""&gt;</p>
</blockquote></section><section id="metadata"><h4 id="x6-2-6-metadata"><span class="secno">6.2.6 </span>Metadata</h4><blockquote>
<p>  ?Noemen: Toepassingsprofiel Metadata Rijk, TMLO? Relatie leggen.
  &lt;https: <a href="http://www.noraonline.nl=&quot;&quot;">www.noraonline.nl=""</a> wiki="" metagegevens_duurzame_toegankelijkheid=""&gt;</p>
</blockquote></section><section id="interoperabiliteit"><h4 id="x6-2-7-interoperabiliteit"><span class="secno">6.2.7 </span>Interoperabiliteit</h4><blockquote>
<p>  ?Benadrukken voordelen voor interoperabiliteit.
  &lt;https: <a href="http://www.noraonline.nl=&quot;&quot;">www.noraonline.nl=""</a> wiki="" interoperabiliteit=""&gt;</p>
</blockquote></section><section id="patronen-0"><h4 id="x6-2-8-patronen"><span class="secno">6.2.8 </span><!-- 6.3.3 --> Patronen</h4><p>Principes ondersteunen het proces om te komen tot nauwkeurige afbakening en definities van API’s van eenzelfde type. Daarnaast bevorderen zij over de verschillende bronnen heen het eenduidig gebruik van API’s voor overeenkomstige concepten.
In de visualisatie hieronder is de structuur van de principes zichtbaar. Het blauw gekleurde principe is overkoepelend. Verder passen de overige principes binnen verschillende architectuurpatronen van API’s die ook in onderstaand figuur wordt weergegeven (zie oranje gekleurde principes).  </p><figure id="principes">
<img src="media/visualisatie%20principes.png" width="800">
<figcaption>Figuur <span class="figno">1</span> <span class="fig-title">Structuur tussen de principes.</span></figcaption>
</figure><br><section id="herbruikbaarheid"><h5 id="x6-2-8-1-herbruikbaarheid"><span class="secno">6.2.8.1 </span>Herbruikbaarheid</h5><p>API-01: Gepubliceerde API’s zijn herbruikbaar
API’s die worden ontwikkeld moeten in lijn zijn met de opgestelde principes, hierdoor ontstaat er uniformiteit. Voorafgaand aan publicatie voor hergebruik toetst Forum Standaardisatie dit.</p><ul>
<li>Voor feitelijk hergebruik kan plaatsvinden moet een onpartijdig oordeel over de kwaliteit van de API uitgesproken worden. Forum Standaardisatie kan die onpartijdige toets uitvoeren op de gerealiseerde API's.</li>
<li>Consumer wil bij hergebruik weten wat de kwaliteit is en de zekerheid hebben dat het werkt en beheerd wordt. </li>
<li>De provider van een API toont de kwaliteit van de API aan bij publicatie. </li>
<li>Door hergebruik van eenmalig ontwikkelde API's kan een softwareleverancier zich juist focussen op het bieden van toegevoegde waarde in de functionele ondersteuning van processen in taakgebieden. Het doel is om een situatie te bereiken waarin API's hergebruikt en gedeeld worden (generiek inzetbaar).</li>
<li>Enkel API’s worden gemaakt waarvoor nog geen API aanwezig is, waardoor er niet méér API's gemaakt worden dan nodig zijn. </li>
</ul></section><section id="patroon-bijhouden"><h5 id="x6-2-8-2-patroon-bijhouden"><span class="secno">6.2.8.2 </span>Patroon ‘Bijhouden’</h5><p>Een levens- of systeemgebeurtenis (zoals een geboorte of het verstrijken van tijd) triggert een proces. Dit proces leidt (in veel gevallen) tot het bijwerken van de data in de registratie van de bronhouder. De volgende principes worden benoemd binnen dit patroon.
<br>
<br>
API-01: Een gebeurtenis zorgt voor een proces waarin een bijhoudingstaak zit voor de bronhouder
Bronhouders hebben de verantwoordelijkheid om hun bronregistratie actueel te houden. Gebeurtenissen die effect hebben op de data in de bronregistratie triggeren een bijhoudingstaak.
<br>
<br>
API-02: Een API van type ‘POST’ faciliteert het bijhouden van data in de bronregistratie.
Restful API’s op basis van JSON van het type ‘POST’ worden toegepast om data te actualiseren in een registratie. </p></section><section id="patroon-afnemen"><h5 id="x6-2-8-3-patroon-afnemen"><span class="secno">6.2.8.3 </span>Patroon ‘Afnemen’</h5><p>Een systeemgebeurtenis (zoals een bijhouding van de bronhouder) triggert een proces. Dit proces leidt (in veel gevallen) tot het notificeren van gebeurtenissen richting (eventuele) afnemers. Afnemers bepalen zelf of zij op basis van ontvangen notificaties data op gaan halen. De volgende principes worden benoemd binnen dit patroon.
<br>
<br>
API-01: Een API in de categorie Notificeren faciliteert het melden van gebeurtenissen aan een afnemer.<br>Een notificatie is een melding van een gebeurtenis die een procestrigger vormt. Een gebeurtenis kan een wijziging in de gegevens van de bronhouder tot gevolg hebben en daarom kan het zinvol zijn voor een afnemer hierover genotificeerd te worden. Gebeurtenissen worden te allen tijde door bronhouder gecommuniceerd richting een broker (bijvoorbeeld ESB/API-Gateway) zo kort mogelijk na het optreden van de gebeurtenis, ongeacht of er afnemers zijn. Dit is de verantwoordelijkheid van de bronhouder. Indien er een afnemer is brengt de notificatie de afnemer op de hoogte van de gebeurtenis. Dit triggert bij de afnemer een proces: De afnemer is aan zet om te oordelen wat de passende vervolgacties zijn bij het ontvangen van de notificatie. 
Een notificatie bevat geen content anders dan identificerende (functionele) gegevens.
Notificaties worden toegezonden aan afnemers die middels afnemerindicaties hebben aangegeven notificaties te willen ontvangen. 
<br>
<br>
API-02: Een API in de categorie Notificeren faciliteert het melden van gebeurtenissen aan een afnemer.<br>Afnemers die via API Notificeren gegevens willen ontvangen nemen op het niveau van een resource (dus niet instelbaar op een specifiek data-object) in de breedte van het geografische verzorgingsgebied gebeurtenissen af.
Uitzondering:
Voor de BRP (en eventuele registraties of data waar privacy op rust) is hier gelet op de privacywetgeving een uitzondering op. Voor het afnemen van personen uit de BRP dient per persoon een specifieke afnemerindicatie geplaatst te zijn door de afnemer, in lijn met zijn doelbinding. Geadviseerd wordt afnemerindicaties te plaatsen door het uitwisselen van het 'BSN' en niet door het uitwisselen van een technische sleutel.
<br>
<br>
API-03: Notificaties zijn gebaseerd op de informatiebehoefte van bedrijfsprocessen.
Afhankelijk van de informatiebehoefte bij afnemers voor het triggeren van bedrijfsprocessen worden notificaties onderkend. 
In grote lijnen komt dit overeen met de gebeurtenissen die in de ontwerpdocumenten of berichtencatalogi van bronregistraties zijn onderkend.
<br>
<br>
API-04: Een API in de categorie Opvragen faciliteert het uitwisselen van gegevens op basis van een vraag-antwoord constructie.
De categorie Opvragen wordt gebruikt voor het op afroep verkrijgen van gegevens uit een bron, of diensten vanuit een dienstenaanbieder via synchrone calls. 
Naargelang de informatiebehoefte van de afnemer kunnen API’s in de categorie Opvragen worden ingericht voor het verstrekken van gegevens (voor zowel raadplegen, zoeken als massaal bevragen t.b.v. synchroniseren) of het aanroepen van een dienst. Het informatiemodel van de bronhouder is leidend bij het ophalen van gegevens.
<br>
<br>
API-05: Een vraag/antwoord API ondersteunt het opvragen van een concreet afgebakende set gegevens.
Elke response van de categorie Opvragen omvat maximaal (afhankelijk van autorisatie, zie design decision BRP API) de attributen, relaties en de identificerende gegevens van de gerelateerde, maar niet de gerelateerde resources in zijn geheel. Het verkrijgen van de gerelateerde resources vereist het stellen van een nieuwe vraag (nieuwe API-call uit categorie Opvragen).  </p><ul>
<li>De bronhouder is verantwoordelijk voor de autorisatie op organisatie-niveau.</li>
<li>De provider bepaalt het maximum aantal responses en niet de consumer. De API geeft een foutmelding wanneer er teveel resultaten zijn op de vraag.</li>
<li>De afnemer kent de doelbinding van het verzoek en stuurt de aanduiding van de doelbinding mee in de call.</li>
</ul></section><section id="patroon-terugmelden"><h5 id="x6-2-8-4-patroon-terugmelden"><span class="secno">6.2.8.4 </span>Patroon ‘Terugmelden’</h5><p>Een systeemgebeurtenis (zoals het verwerken van een antwoord door de afnemer) triggert een proces. Dit proces kan leiden tot het verrichten van een terugmelding, aangezien de afnemer twijfelt aan de juistheid van de gegevens. De afnemer signaleert dit richting bronhouder.
<br>
<br>
API-01: Een afnemer verricht een terugmelding bij gerede twijfel aan de juistheid van de gegevens.
Gegevens in bronregistraties moeten actueel en betrouwbaar zijn. Terugmelden is één van de instrumenten om de kwaliteit van registraties te borgen. Iedere terugmelding draagt bij aan het verbeteren van een overheidsadministratie. 
Afnemers van de registraties hebben daarom de wettelijke plicht om mogelijk onjuiste gegevens te melden als het gaat om authentieke gegevens. Voor niet-authentieke gegevens geldt die verplichting niet. 
Het proces van terugmelden zorgt ervoor dat de fout in de registratie wordt gesignaleerd en na onderzoek door de bronhouder zo nodig wordt hersteld, waardoor alle afnemers vervolgens het juiste gegeven kunnen gebruiken.
Het proces van Terugmelden onderscheidt 3 fasen:</p><ul>
<li>De signalering van mogelijk onjuiste gegevens door de afnemer of de betrokkene (correctierecht).</li>
<li>Het in onderzoek nemen van het gemelde gegeven door de bronhouder.</li>
<li>De correctie en beschikbaarstelling van het gemelde gegeven aan de afnemer die het gegeven had gesignaleerd en afnemers die zijn geabonneerd op wijzigingen van de desbetreffende gegevens (dit behoort weer tot het patroon ‘Bijhouden’).</li>
</ul><p>De verschillende patronen zijn aan elkaar gerelateerd en hebben een duidelijke afhankelijkheid. Dit is in onderstaand figuur afgebeeld. Per patroon is ook aangegeven hoe gebeurtenissen, processen en datastromen zich tot elkaar verhouden.</p><figure id="patronen">
<img src="media/visualisatie%20patronen.png" width="800">
<figcaption>Figuur <span class="figno">2</span> <span class="fig-title">Visualisatie patronen (gelaagdheid tussen real life, proces en data).</span></figcaption>
</figure><br></section></section><section id="componenten"><h4 id="x6-2-9-componenten"><span class="secno">6.2.9 </span>Componenten</h4><blockquote>
<p>  Hamvraag: zijn REST API’s bouwstenen (architectuur component)? Behandelen:
  op welke wijze API’s eenduidig zijn te beschrijven en vindbaar te maken
  zijn. Wat kunnen we (concreet) van hieruit aan richtinggevende normen/
  regels voor API Register’s meegeven? Wie hebben er een use case rond een API
  register?</p>
</blockquote></section><section id="begrippen"><h4 id="x6-2-10-begrippen"><span class="secno">6.2.10 </span>Begrippen</h4><blockquote>
<p>  Noemen/ overnemen begrippen uit document BFS over API’s. Proberen een steeds
  meer gestandaardiseerd begrippenkader voor REST API’s neer te zetten</p>
</blockquote></section><section id="standaarden"><h4 id="x6-2-11-standaarden"><span class="secno">6.2.11 </span>Standaarden</h4><blockquote>
<p>  Updaten en overnemen lijst met API standaarden uit het document BFS
  (Lancelot Schellevis)</p>
</blockquote></section><section id="use-cases"><h4 id="x6-2-12-use-cases"><span class="secno">6.2.12 </span>Use cases</h4><blockquote>
<p>  Iig: use case Drechtsteden. Overige? Let wel: use cases zijn in dit stadium
  het uitgangspunt</p>
</blockquote></section><section id="architectuur-bijlagen"><h4 id="x6-2-13-architectuur-bijlagen"><span class="secno">6.2.13 </span>Architectuur bijlagen</h4><p>Bijgevoegd document:</p><p><a href="Werkgroep%20Architectuur/Werkgroep_API_Architectuur%20Draft%20D%5b29148%5d.pdf">Werkgroep Architectuur\Werkgroep_API_Architectuur Draft D[29148].pdf</a>





</p></section></section></section>
  

<section id="references" class="appendix">
      <!--OddPage--><h2 id="a-referenties"><span class="secno">A. </span>Referenties</h2>
      
    <section id="normatieve-referenties">
        <h3 id="a-1-normatieve-referenties"><span class="secno">A.1 </span>Normatieve referenties</h3>
      <dl class="bibliography">
        <dt id="bib-expert">[Expert]</dt><dd><a href="https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf"><cite>Expertadvies OAuth 2.0</cite></a>. P. Dam. Forum Standaardisatie. 24 februari 2017. URL: <a href="https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf">https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20OAuth%202.0.pdf</a></dd><dt id="bib-hal">[HAL]</dt><dd><a href="http://stateless.co/hal_specification.html"><cite>HAL - Hypertext Application Language</cite></a>. Mike Kelly. 2013-09-18. URL: <a href="http://stateless.co/hal_specification.html">http://stateless.co/hal_specification.html</a></dd><dt id="bib-igov.oauth2">[iGOV.OAuth2]</dt><dd><a href="https://openid.net/specs/openid-igov-oauth2-1_0.html"><cite>International Government Assurance Profile (iGov) for OAuth 2.0</cite></a>. J. Richer, M. Varley, P. Grassi. OpenID foundation. October 5 2018. URL: <a href="https://openid.net/specs/openid-igov-oauth2-1_0.html">https://openid.net/specs/openid-igov-oauth2-1_0.html</a></dd><dt id="bib-igov.openid">[iGOV.OpenID]</dt><dd><a href="https://openid.net/specs/openid-igov-openid-connect-1_0.html"><cite>International Government Assurance Profile (iGov) for OpenID Connect 1.0 - draft 3</cite></a>. M. Varley, P. Grassi. OpenID foundation. October 5 2018. URL: <a href="https://openid.net/specs/openid-igov-openid-connect-1_0.html">https://openid.net/specs/openid-igov-openid-connect-1_0.html</a></dd><dt id="bib-rfc6585">[rfc6585]</dt><dd><a href="https://tools.ietf.org/html/rfc6585"><cite>Additional HTTP Status Codes</cite></a>. M. Nottingham; R. Fielding. IETF. April 2012. Proposed Standard. URL: <a href="https://tools.ietf.org/html/rfc6585">https://tools.ietf.org/html/rfc6585</a></dd><dt id="bib-rfc7807">[rfc7807]</dt><dd><a href="https://tools.ietf.org/html/rfc7807"><cite>Problem Details for HTTP APIs</cite></a>. M. Nottingham; E. Wilde. IETF. March 2016. Proposed Standard. URL: <a href="https://tools.ietf.org/html/rfc7807">https://tools.ietf.org/html/rfc7807</a></dd><dt id="bib-rfc8142">[rfc8142]</dt><dd><a href="https://tools.ietf.org/html/rfc8142"><cite>GeoJSON Text Sequences</cite></a>. S. Gillies. IETF. April 2017. Proposed Standard. URL: <a href="https://tools.ietf.org/html/rfc8142">https://tools.ietf.org/html/rfc8142</a></dd>
      </dl></section></section><p role="navigation" id="back-to-top"><a href="#title"><abbr title="Back to Top">↑</abbr></a></p><script src="https://www.w3.org/scripts/TR/2016/fixup.js"></script></body></html>