Financial-grade API

O que é FAPI?

API de grau financeiro (FAPI), sendo padronizado por um grupo de trabalho sob OpenID Foundation (OIDF), visa “para fornecer diretrizes de implementação específicas para serviços financeiros online a serem adotados através do desenvolvimento de um modelo de dados REST / JSON protegido por um perfil OAuth altamente seguro” (fonte: OIDF).

Perfis de segurança FAPI

Os perfis de segurança FAPI destinam-se a ser aplicados a serviços online em quaisquer setores que requeiram um nível de segurança mais alto do que o fornecido pelo padrão OAuth ou OpenID Connect. Existem dois tipos de perfis:

O último, “FAPI Parte 2”, fornece medidas de segurança mais altas, aproveitando recursos avançados definidos nas especificações do OpenID Connect, além dos padrões OAuth. Aqui estão algumas melhorias notáveis:

  • Prevenção de falsificação de identidade do remetente e adulteração de mensagens em termos de solicitação de autorização e resposta
  • Prevenção de vazamento e uso não autorizado do código de autorização
    • Verificação estrita de URI de redirecionamento (redirect_uri)
  • Prevenção de falsificação de identidade de cliente
  • Prevenção do uso não autorizado de tokens

Os documentos e slides a seguir podem ajudá-lo a entender a FAPI.

  1. Financial-grade API (FAPI), Explicada por um Desenvolvedor

    API de grau financeiro (FAPI) é uma especificação técnica desenvolvida pelo Grupo de Trabalho de API de grau financeiro da OpenID Foundation. Ele usa OAuth 2.0 e OpenID Connect (OIDC) como sua base e define requisitos técnicos adicionais para o setor financeiro e outros setores que exigem maior segurança. […] Este artigo explica o perfil de segurança da API de nível financeiro.

Authlete e FAPI

Authlete oferece suporte à API de grau financeiro desde julho de 2018 e foi certificado desde abril de 2019.

Aqui está um recurso útil que ajuda a entender como você pode construir um servidor de autorização compatível com FAPI com Authlete.

Um tutorial para configurar o Authlete para construir um servidor de autorização compatível com API (FAPI) de nível financeiro.

Um tutorial para integrar as implementações de referência da Authlete com um serviço Authlete, que foi configurado com configurações descritas em outro tutorial, O Básico API (FAPI) de grau financeiro.