Table of Contents
FAPI とは
OpenID Foundation 傘下のワーキンググループが策定を進めている Financial-grade API (FAPI) は、非常にセキュアな OAuth プロファイルにより保護された REST/JSON データモデルの仕様群と、その仕様群をオンライン金融サービスに適用する上での実装ガイドラインの提供を目標としています。
FAPI セキュリティプロファイル
仕様群の中でも FAPI セキュリティプロファイルは、金融サービスに限らず、標準的な OAuth もしくは OpenID Connect を超える高度なセキュリティが求められる分野のオンラインサービスに対して適用可能です。FAPI セキュリティプロファイルは 2 種類あります。
-
Financial-grade API Security Profile (FAPI) 1.0 – Part 1: Baseline
OAuth の基本的なセキュリティプロファイル。中等度の固有リスク (moderate inherent risk) がある API の保護に適している
-
Financial-grade API Security Profile (FAPI) 1.0 – Part 2: Advanced
OAuth の高度なセキュリティプロファイル。非常に機微なデータへのアクセスや、金融取引(例: 決済指図)など、高レベルの固有リスク (high inherent risk) がある API の保護に適している
このうち後者の “FAPI Part 2” では、OAuth 2.0 だけではなく OpenID Connect 仕様に定義されている高度な機能を積極的に活用しています。主な機能強化点は以下の通りです。
- 認可リクエスト / レスポンスの送信者詐称・改ざん防止
- リクエストオブジェクトの利用
- ハイブリッドフローもしくは JARM の利用
- 認可コードの漏洩・盗用防止
- リダイレクト URI (
redirect_uri) の厳密な管理
- リダイレクト URI (
- クライアントのなりすまし防止
- 双方向 TLS クライアント認証 もしくは JWT によるクライアント認証
- トークンの漏洩・盗用防止
概要は以下をご参照ください。
-
世界最先端の API セキュリティー技術、実装者による『FAPI(Financial-grade API)』解説
Financial-grade API(通称 FAPI; ファピ)は、OpenID Foundation の Financial-grade API ワーキンググループが策定した技術仕様です。OAuth 2.0 と OpenID Connect(以降 OIDC)を基盤とし、より高い API セキュリティーを必要とする金融業界および他の様々な業界のため、追加の技術要求事項を定めています。
-
Financial-grade API (FAPI) 勉強会
2022 年 1 月 12 日に開催した弊社勉強会のプレゼンテーション録画です。FAPI の概要、および 2021 年 3 月に公開された FAPI 1.0 を解説します。また、FAPI 2.0 の最新動向もご紹介します。
Authlete と FAPI
Authlete では、2018 年 7 月以降、Financial-grade API をサポートし、2019 年 4 月以降 Financial-grade API Certification を取得しています。
詳細は、以下のドキュメントをご参照ください。
-
本ドキュメントでは、Authlete で Financial-grade API (通称 FAPI) の機能を利用するための具体的な方法について解説します。
-
標準の OAuth 2.0 および OpenID Connect 用の検証項目に加えて、FAPI モードにおいて追加で実行される検証項目について説明します。
-
Authlete を利用した Financial-grade API - Part 2: Read and Write API Security Profile (以下 FAPI)対応のアイデンティティ・プロバイダーを構築する手順を通じて、同仕様が規定するセキュリティ条項の概要と Authlete の設定方法を紹介します。
-
FAPI Basics Supplement: Integration with Reference Implementations
Financial-grade API (FAPI) Basics を通じて設定した Authlete に、リファレンス実装を統合し、動作を確認するチュートリアルです。
