FAPI工作组-概述
什么是FAPI工作组?
使应用程序能够利用金融账户中存储的数据, 使应用程序能够与财务帐户交互,以及 允许用户控制安全和隐私设置。
论文和演讲
FAPI配置文件概述 2021年4月20日
工作组主席
Nat Sakimura(Nat咨询) Anoop Saxena(因特人) 安东尼·纳达林 戴夫·汤格(Moneyhub)
参与
会议日程安排
常见问题
清晰的逐点规范,实现者可以将其用作“检查列表” 详尽的一致性测试,允许实现者确保其软件的安全性和互操作性 基于标准的方法来保护复杂交互(例如,通过CIBA解耦的authZ流、授权管理、推送请求对象)。
PKCE– https://tools.ietf.org/html/rfc7636 供应商已经广泛支持这种安全机制。
mTLS– https://datatracker.ietf.org/doc/rfc8705/ OAuth Security BCP也推荐了一种用于客户端身份验证和访问令牌发送方约束的标准。
DPoP– https://tools.ietf.org/html/draft-ietf-oauth-dpop-02 应用层的发送方约束访问令牌标准
推送授权请求– https://tools.ietf.org/html/draft-ietf-oauth-par IETF规范等待发布 开源项目和商业供应商广泛采用
丰富授权请求(RAR)– https://tools.ietf.org/html/draft-ietf-oauth-rar RAR可以作为扩展参数在OAuth 2.0实现之上实现。 现有实施证明了其可行性。
授权响应中的授权服务器颁发者标识符 https://tools.ietf.org/html/draft-ietf-oauth-iss-auth-resp 可以在现有OAuth 2.0实现之上实现。
是的QES方案签名API(由三个不同的授权服务器实现),使用PKCE、mTLS、PAR、RAR、iss授权响应参数 Authlete:支持PKCE、mTLS、PAR、RAR和iss响应参数。
实现更简单(在不降低安全性的情况下对消息签名的要求更少), 更具互操作性(通过减少可选性), 更接近OAuth安全BCP, 范围更广–涵盖细粒度和事务授权,这超出了FAPI 1.0的范围。
如果生态系统中的供应商已经支持FAPI 1.0,这可能是使用它的一个有效理由。 如果生态系统已经在使用OpenID Connect进行身份声明,那么使用FAPI 1.0可能会更加困难。 FAPI 1.0是一个成熟且广受支持的安全配置文件。 FAPI 2.0要求较少使用消息签名,这可能会使其更容易实现(尤其是对于客户端)。 FAPI 1.0不涵盖复杂的授权请求和授予生命周期管理,因此您可能需要实现自定义解决方案。 FAPI 2.0涵盖了这些方面。 尽管规范仍在开发中,但它们已经代表了工作组和其他实施此类解决方案的人员收集的经验。
FAPI联络关系
金融数据交换(FDX)-美国
清晰的逐点规范,实现者可以将其用作“检查列表” 详尽的一致性测试,允许实现者确保其软件的安全性和互操作性 基于标准的方法来保护复杂交互(例如,通过CIBA解耦的authZ流、授权管理、推送请求对象)。