AEO & AI SEO 3 min leestijd

OAuth Discovery

Een mechanisme waarmee AI-agents automatisch authenticatie-endpoints van een website ontdekken.

Bas Vermeer SEO/AEO Specialist

OAuth Discovery verwijst naar de mechanismen waarmee AI-agents en software automatisch de authenticatie-endpoints van een webservice kunnen vinden. Het maakt gebruik van gestandaardiseerde documenten zoals .well-known/openid-configuration en .well-known/oauth-authorization-server.

Waarom is dit relevant?

Naarmate AI-agents autonomer worden, moeten ze veilig kunnen authenticeren bij webservices. OAuth Discovery maakt dit mogelijk zonder handmatige configuratie: de agent ontdekt automatisch waar hij moet inloggen, welke scopes beschikbaar zijn, en hoe tokens worden verkregen.

OAuth Discovery en Agent-Readiness

Het aanbieden van OAuth Discovery endpoints is een signaal van AI-agent gereedheid. Het toont dat je website klaar is voor geautomatiseerde, veilige interactie met AI-systemen. De scanner controleert de aanwezigheid van deze endpoints.

Voorbeeld: OpenID Connect Discovery response

// GET https://example.com/.well-known/openid-configuration

{
  "issuer": "https://example.com",
  "authorization_endpoint": "https://example.com/oauth/authorize",
  "token_endpoint": "https://example.com/oauth/token",
  "userinfo_endpoint": "https://example.com/oauth/userinfo",
  "revocation_endpoint": "https://example.com/oauth/revoke",
  "jwks_uri": "https://example.com/.well-known/jwks.json",
  "scopes_supported": [
    "openid",
    "profile",
    "email",
    "read:products",
    "read:orders"
  ],
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code id_token"
  ],
  "grant_types_supported": [
    "authorization_code",
    "client_credentials",
    "refresh_token"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_basic",
    "client_secret_post"
  ],
  "subject_types_supported": ["public"],
  "id_token_signing_alg_values_supported": ["RS256"]
}

Voorbeeld: OAuth Authorization Server Metadata

// GET https://example.com/.well-known/oauth-authorization-server

{
  "issuer": "https://example.com",
  "authorization_endpoint": "https://example.com/oauth/authorize",
  "token_endpoint": "https://example.com/oauth/token",
  "registration_endpoint": "https://example.com/oauth/register",
  "scopes_supported": ["read", "write", "admin"],
  "response_types_supported": ["code"],
  "grant_types_supported": [
    "authorization_code",
    "client_credentials"
  ],
  "code_challenge_methods_supported": ["S256"]
}

Hoe OAuth Discovery werkt voor AI-agents

Discovery: de AI-agent bezoekt /.well-known/openid-configuration of /.well-known/oauth-authorization-server om de beschikbare endpoints te ontdekken.
Registratie: als dynamic client registration beschikbaar is, registreert de agent zichzelf als OAuth-client.
Autorisatie: de agent initieert de OAuth-flow (typisch authorization code met PKCE) om toegang te krijgen.
Token verkrijgen: na succesvolle autorisatie ontvangt de agent een access token.
API-gebruik: de agent gebruikt het token om beveiligde API-endpoints aan te roepen.

Wat checkt onze scanner?

De scanner controleert of je website OAuth Discovery endpoints aanbiedt op de standaard .well-known locaties. Dit omvat zowel OpenID Connect Discovery (/.well-known/openid-configuration) als OAuth Authorization Server Metadata (/.well-known/oauth-authorization-server). Dit is onderdeel van de Agent-Readiness score.

Veelgestelde vragen

Heeft mijn website OAuth Discovery nodig?

Als je website beveiligde functionaliteit heeft die AI-agents zouden willen gebruiken (zoals een klantenportaal, bestelhistorie of gepersonaliseerde data), dan is OAuth Discovery waardevol. Voor puur informatieve websites zonder gebruikersaccounts is het minder relevant, maar het aanbieden ervan toont forward-thinking AI-gereedheid.

Wat is het verschil tussen OpenID Connect Discovery en OAuth Server Metadata?

OpenID Connect Discovery (RFC 8414) is een uitbreiding van OAuth 2.0 die ook identiteitsinformatie biedt (wie is de gebruiker). OAuth Authorization Server Metadata (RFC 8414) beschrijft alleen de autorisatiecapabilities. Voor AI-agents is OAuth Server Metadata vaak voldoende, tenzij identiteitsinformatie nodig is.

Hoe implementeer ik OAuth Discovery in Laravel?

In Laravel kun je Laravel Passport of Laravel Sanctum gebruiken als basis. Passport biedt OAuth2-server functionaliteit en kan uitgebreid worden met een .well-known endpoint. Je kunt ook een custom route definieren die het discovery document teruggeeft als JSON. Zorg dat de response de juiste Content-Type header (application/json) en CORS-headers bevat.

Is OAuth Discovery verplicht voor MCP?

Niet strikt verplicht, maar sterk aanbevolen. MCP-servers die achter authenticatie zitten, gebruiken OAuth Discovery om AI-agents automatisch de juiste authenticatie-flow te laten doorlopen. Zonder OAuth Discovery moet authenticatie handmatig worden geconfigureerd, wat de bruikbaarheid voor AI-agents sterk vermindert.

OAuth Discovery

Waarom is dit relevant?

OAuth Discovery en Agent-Readiness

Voorbeeld: OpenID Connect Discovery response

Voorbeeld: OAuth Authorization Server Metadata

Hoe OAuth Discovery werkt voor AI-agents

Wat checkt onze scanner?

Veelgestelde vragen

GERELATEERDE TERMEN

MCP Protocol

AI-bot Rules

Web Agent Protocol

GERELATEERDE SCANNER-CHECKS

GERELATEERDE ARTIKELEN

De agent-economie: websites als dienstverleners voor AI

Agent Cards: de identiteit van AI-agents

AI-agents en de toekomst van websurfen

De toekomst van zoeken: voorspellingen voor 2027

OAuth discovery voor AI-agents: authenticatie van de toekomst

MCP Servers: hoe AI-agents met je website communiceren

Test je website