Récupérer votre jeton

➤ Développement pas à pas

 

1- Le TPP envoie directement une requête vers l'infrastructure informatique d'autorisation de la banque teneur de compte.

    Pour l’accès en production (live), le point d’entrée pour récupérer le jeton d'accès dépend de l'établissement teneur de compte avec le format

  • htpps://www.<cdetab>.live.api.89c3.com/stet/psd2/oauth/token

ou

  • htpps://www.<cdetab>.live.api.<banque>/stet/psd2/oauth/token aligné sur le nom de domaine de l'accès direct de la <banque>

NB : la liste de nos établissements et les valeurs possibles des <cdetab> et <banque> associés sont précisées dans la rubrique "Limitations".

 

   Afin de pouvoir interroger le bon backend dans le parcours client, il est donc nécessaire que vous prévoyez de demander au préalable au client son établissement teneur de compte.

NB : Le PSU peut domicilier ses comptes dans plusieurs banques du Groupe BPCE. Dans ce cas, il vous faudra un jeton différent pour accéder à chacun des établissements teneurs de comptes (ASPSP).

 

Le détail des paramètres de la requête se trouvent ci-après : POST /psd2/oauth/token?client_id={clientId}&scope={scope}[&grant-type=client_credentials]

Nom  Description Type
grant_type [1..1] Type d'autorisation demandée

Doit être "client_credentials"

client_id [1..1] Votre identification en tant que TPP

Si l’enregistrement du TPP a été réalisé au travers du processus de "GoLive" via notre portail 89C3 API : doit être égale à la partie "OrganizationIdentifier" du "Distinguished Name" du certificat eiDAS, en accord avec la spécification ETSI =>numéro d’agrément donné par votre autorité compétente (PSDXX-YYYYYYYY-ZZZZZZZZ)

  OU

Si l’enregistrement du TPP a été réalisé via l’API register : doit être égale au client_id retourné dans la  réponse au POST /register

scope [0..1]

Spécifie le  service  

Doit être "pisp" 

 

2- L'établissement teneur de compte (ASPSP) va effectuer des vérifications liées au profil du TPP (rôle, validité des certificats et de votre rôle, non révocation de votre profil, etc.)

 

3- Si ces vérifications effectuées sont concluantes, la banque va répondre au TPP via un code HTTP 200 (OK) avec les données suivantes :

Nom  Description Type
access_token [1..1] Jeton d'accès fourni au TPP par l'ASPSP.

ex : "nACXdBo0fULg8fffadFDSGJZALKGEAaxfer72HGDHGx6kJHz"

token_type [1..1] Type du jeton fourni

Doit être"Bearer"

expires_in [0..1]

Durée de vie du jeton (en secondes) utilisable plusieurs fois tant qu'il n'est pas expiré

Numérique=> ex : "3600"
scope [1..1]

Spécifie le  service  

Doit être "pisp"

 

Le jeton d’accès doit être utilisé dans toutes les requêtes au niveau du header « Authorization » préfixé par le type de jeton « Bearer ». 

Si le jeton a expiré, la requête sera rejetée avec un code HTTP 403 et des données indiquant « Token invalide ». Cette requête pourra être renvoyée une fois qu'un nouveau jeton d’accès de type Client Credential a été demandé et obtenu.