O que é FAPI?

API de grau financeiro (FAPI), sendo padronizado por um grupo de trabalho sob OpenID Foundation (OIDF), visa “para fornecer diretrizes de implementação específicas para serviços financeiros online a serem adotados através do desenvolvimento de um modelo de dados REST / JSON protegido por um perfil OAuth altamente seguro” (fonte: OIDF).

Perfis de segurança FAPI

Os perfis de segurança FAPI destinam-se a ser aplicados a serviços online em quaisquer setores que requeiram um nível de segurança mais alto do que o fornecido pelo padrão OAuth ou OpenID Connect. Existem dois tipos de perfis:

• Financial-grade API Security Profile (FAPI) 1.0 – Part 1: Baseline

  Um perfil OAuth adequado para acesso de API somente leitura a dados financeiros e outros casos de uso semelhantes

• Financial-grade API Security Profile (FAPI) 1.0 – Part 2: Advanced

  Um perfil de segurança adequado para acesso de API de leitura e gravação a serviços financeiros e outras situações semelhantes onde o risco é maior

O último, “FAPI Parte 2”, fornece medidas de segurança mais altas, aproveitando recursos avançados definidos nas especificações do OpenID Connect, além dos padrões OAuth. Aqui estão algumas melhorias notáveis:

• Prevenção de falsificação de identidade do remetente e adulteração de mensagens em termos de solicitação de autorização e resposta
  • Usando Request Object
  • Usando Hybrid flow ou JARM
• Prevenção de vazamento e uso não autorizado do código de autorização
  • Verificação estrita de URI de redirecionamento (redirect_uri)
• Prevenção de falsificação de identidade de cliente
  • Autenticação de cliente com autenticação mútua de cliente TLS ou JWT
• Prevenção do uso não autorizado de tokens
  • Usando Certificate-bound Token

Os documentos e slides a seguir podem ajudá-lo a entender a FAPI.

1. Financial-grade API (FAPI), Explicada por um Desenvolvedor

   API de grau financeiro (FAPI) é uma especificação técnica desenvolvida pelo Grupo de Trabalho de API de grau financeiro da OpenID Foundation. Ele usa OAuth 2.0 e OpenID Connect (OIDC) como sua base e define requisitos técnicos adicionais para o setor financeiro e outros setores que exigem maior segurança. […] Este artigo explica o perfil de segurança da API de nível financeiro.

Authlete e FAPI

Authlete oferece suporte à API de grau financeiro desde julho de 2018 e foi certificado desde abril de 2019.

Aqui está um recurso útil que ajuda a entender como você pode construir um servidor de autorização compatível com FAPI com Authlete.

• Noções básicas de API (FAPI) de nivel financeiro

  Um tutorial para configurar o Authlete para construir um servidor de autorização compatível com API (FAPI) de nível financeiro.

• Suplemento básico fapi: integração com implementações de referência

  Um tutorial para integrar as implementações de referência da Authlete com um serviço Authlete, que foi configurado com configurações descritas em outro tutorial, O Básico API (FAPI) de grau financeiro.