govway Restituire sempre token integrity in risposta

Buongiorno, Sono state esposte delle interfacce in erogazione verso Infocamere per l'esecuzione dei BBTest, che dovrebbero restituire in risposta sempre il token di integrity. Provando a configurare l'API impostando la restituzione del medesimo token su qualsiasi risposta si riscontrano nel report finale prodotto da Infocamere degli esiti KO dovuti alla non presenza del summenzionato token. Ci sono infatti degli esiti di tipo 401, tali per cui la richiesta che arriva non risulta autenticata, ed altri 400 in cui alcuni uno dei token non è stato composto correttamente (ad es. il payload è vuoto) e su tali chiamate non compare il token di integrity in risposta. Sarebbe quindi possibile avere una situazione in cui per ogni chiamata di Infocamere il gateway GovWay restituisce sempre il token di integrity? Grazie.

Si rimane in attesa di un cortese riscontro.

Distinti saluti.

Luca Montano

Sep 19 '25 09:09 lucamontano98

Buongiorno @lucamontano98

L'argomento è stato trattato nell'issue https://github.com/link-it/govway/issues/199, in particolar modo nei commenti https://github.com/link-it/govway/issues/199#issuecomment-3160078555 e https://github.com/link-it/govway/issues/199#issuecomment-3228015218

Sep 22 '25 06:09 andreapoli

Buongiorno, grazie mille per le informazioni utili che avete condiviso. Sulla componente front-end non riscontriamo più "anomalie", mentre passando a quella di "back-end", che ha le stesse configurazioni (tranne gli indirizzi e l'aud) del front-end, stiamo riscontrando dei casi negativi in cui govway non rilascia il token Agid-JWT-Signature, come riportato nel messaggio iniziale. C'è un modo per risolvere anche questi casi? Grazie.

Si rimane in attesa di un cortese riscontro.

Distinti saluti.

Luca Montano

Oct 10 '25 15:10 lucamontano98

Buoansera @lucamontano98 .

Per poterti aiutare al meglio, mi servirebbero tutti i dettagli delle configurazioni che hai effettuato e una descrizione precisa dei casi in cui non ottieni il comportamento atteso.

In alternativa, ti segnalo che sono state pubblicate altre govlet che supportano la registrazione delle configurazioni per le diverse categorie di servizio. Puoi valutare di utilizzarle per realizzare la configurazione di cui hai bisogno. Tutto il materiale è disponibile sul repository GitHub, in particolare:

nel branch 3.4.x per la versione 3.4.x.
nel branch master per la versione 3.3.x.

Oct 10 '25 17:10 andreapoli

Buonasera, relativamente a questo tema, la restituzione in risposta di un header AgID-JWT-Signature, è prevista per tutti i casi di errore qui menzionati https://govway.org/documentazione/releaseNotes/3.3.17/suap.html ?

Quali claims OBBLIGATORI si aspetta infocamere?

Di seguito, un esempio che si ottiene invocando un servizio erogato da infocamere: { "alg": "RS256", "typ": "JWT", "kid": "kid" }

{ "iat": 1759995177, "nbf": 1759995177, "exp": 1759995477, "jti": "jti", "aud": "aud", "client_id": "client id", "iss": "infocamere", "sub": "sisu-cagi-entiterzi-api/v1", "signed_headers": [ { "digest": "SHA-256=digest" }, { "content-type": "application/json" } ] } Grazie Saluti Francesco

Oct 14 '25 14:10 fdl90

Buongiorno @fdl90 ,

l'argomento è stato trattato nel commento https://github.com/link-it/govway/issues/199#issuecomment-3160078555. Delle configurazioni di erogazioni a cascate, che consentono di generare i token di integrità anche per i casi di errore, vengono generate dalle govlet indicate in https://github.com/link-it/govway/issues/248#issuecomment-3391342620 .

Per ottenere una risposta ufficiale sui claim richiesti da Infocamere, ti consiglio di contattarli direttamente. Detto ciò, le GovLet indicate sono le stesse utilizzate ai fini della certificazione e, pertanto, dovrebbero garantire la generazione di tutti i claim richiesti.

Oct 15 '25 07:10 andreapoli