Financial-grade API

Table of Contents

O que é FAPI?

API de grau financeiro (FAPI), sendo padronizado por um grupo de trabalho sob OpenID Foundation (OIDF), visa “para fornecer diretrizes de implementação específicas para serviços financeiros online a serem adotados através do desenvolvimento de um modelo de dados REST / JSON protegido por um perfil OAuth altamente seguro” (fonte: OIDF).

Perfis de segurança FAPI

Os perfis de segurança FAPI destinam-se a ser aplicados a serviços online em quaisquer setores que requeiram um nível de segurança mais alto do que o fornecido pelo padrão OAuth ou OpenID Connect. Existem dois tipos de perfis:

O último, “FAPI Parte 2”, fornece medidas de segurança mais altas, aproveitando recursos avançados definidos nas especificações do OpenID Connect, além dos padrões OAuth. Aqui estão algumas melhorias notáveis:

  • Prevenção de falsificação de identidade do remetente e adulteração de mensagens em termos de solicitação de autorização e resposta
  • Prevenção de vazamento e uso não autorizado do código de autorização
    • Verificação estrita de URI de redirecionamento (redirect_uri)
  • Prevenção de falsificação de identidade de cliente
  • Prevenção do uso não autorizado de tokens

Os documentos e slides a seguir podem ajudá-lo a entender a FAPI.

  1. Financial-grade API (FAPI), Explicada por um Desenvolvedor

    API de grau financeiro (FAPI) é uma especificação técnica desenvolvida pelo Grupo de Trabalho de API de grau financeiro da OpenID Foundation. Ele usa OAuth 2.0 e OpenID Connect (OIDC) como sua base e define requisitos técnicos adicionais para o setor financeiro e outros setores que exigem maior segurança. […] Este artigo explica o perfil de segurança da API de nível financeiro.

Authlete e FAPI

Authlete oferece suporte à API de grau financeiro desde julho de 2018 e foi certificado desde abril de 2019.

Aqui está um recurso útil que ajuda a entender como você pode construir um servidor de autorização compatível com FAPI com Authlete.