Récupérer votre jeton
➤ Principe
Votre accès aux API "information sur compte" ou "disponibilité des fonds" vous est autorisé via un jeton d'accès (access_token) qui peut être obtenu en appliquant le standard de place OAUTH2.
➤ Cinématique de récupération du jeton d'autorisation
1. Notre client (PSU) vous indique l'identité de sa banque teneur de compte.
2. Vous initiez la séquence de récupération du jeton d'accès OAuth2 en redirigeant le client (PSU), via son navigateur internet, vers l'infrastructure informatique d'autorisation de la banque teneur de compte (ASPSP) et en utilisant la commande : GET /authorize.
Voir aussi la spécification de place STET V1.4.2.17 / Part I / section 3.4.3
3. La banque teneur de compte (ASPSP) va :
- Identifier et authentifier son client par l'une des méthodes d'authentification forte qu'elle propose et qu’il présente au client ;
- Effectuer des vérifications liées à votre profil en tant qu'AISP ou CBPII (validité de vos certificats QWAC et QSEALC et de votre rôle, non révocation de votre profil, etc.)
4. Une fois ces vérifications effectuées et si elles sont concluantes, la banque va rediriger le client (PSU) vers votre site en utilisant votre URL de "call-back" (redirection) que vous nous aurez transmise lors de votre enregistrement en tant que TPP consommateur de nos API,
- Soit lors du processus de "GO Live" via notre portail 89c3 API (ancienne procédure);
- Soit via l'API register (procédure actuelle).
En effet, l'AISP doit préciser pour son APP consommatrice, une URL qui sera appelée par l'établissement bancaire :
- Si le client a autorisé la récupération de ses données par l'AISP
- Ou en cas de refus du consentement
- Ou si la cinématique d'identification et d'authentification est interrompue à l’une de ses étapes (exemple : timeout sur l'écran d'identification ou sur l'écran d'authentification forte).
Si le PSU vous a autorisé à récupérer ses données chez son teneur de compte, vous trouverez dans la réponse à cet appel un code à utilisation unique qui a une durée de vie courte.
5. Via un appel de type POST /token, vous allez pouvoir alors demander directement au teneur de compte votre jeton d'accès OAUTH2 (access_token) avec les éléments reçus précédemment dont le code à utilisation unique.
NB : les requêtes /token du flow Authorization Code doivent être envoyée SANS le paramètre « scope ».
Voir aussi la spécification de place STET V1.4.2.17 / Part I / section 3.4.3
6. La banque teneur de compte (ASPSP) va :
Effectuer des vérifications liées à votre profil en tant qu'AISP ou CBPII (validité des certificats et de votre agrément, non révocation de votre profil, etc.)
- Vous identifier et vous authentifier en tant qu'AISP ou CBPII via votre certificat que vous mettrez à disposition pour sécuriser l'échange mutuel.
7. Une fois ces vérifications effectuées et si elles sont concluantes, la banque teneur de compte va vous renvoyer une réponse HTTP200 (OK) contenant, entres autres, le jeton d'accès OAUTH2 (access_token).
Voir aussi la spécification de place STET V1.4.2.17 / Part I / section 3.4.3
8. Dès que le jeton d'accès OAUTH2 (access_token) délivré par la banque a été récupéré par vos soins, vous pourrez le présenter pour pouvoir consommer les ressources de l'API.
Ce jeton est accompagné d’un refresh_token valable 90 jours que vous devez conserver. Lorsque votre access_token arrive à expiration, vous pouvez en redemander un nouveau en suivant la rubrique "Vue d'ensemble" > "Rafraîchir votre jeton".
Au bout de 90 jours votre refresh_token arrive à expiration. Pour en récupérer un nouveau, vous devrez reprendre cette cinématique "Récupérer votre jeton" et passer, de facto, par une nouvelle étape d’authentification forte du client auprès de son établissement bancaire (cf. point 3. ci-dessus).
Pour plus de détails, voir aussi OAUTH 2.0 Authorization Framework : https://tools.ietf.org/html/rfc6749#section-4.1
➤ Exemple
Un exemple de requête est fourni dans la rubrique "Comment tester l'API ?" > "Assemblage Sandbox".
Pour plus de détail sur les données échangées, voir la rubrique "Comment tester l'API ?".