Récupérer votre jeton

L'accès aux API "information sur compte" ou "disponibilité des fonds" vous est autorisé via un jeton d'accès (access_token) qui peut être obtenu en appliquant le standard de place OAUTH2.



➤ Cinématique de récupération du jeton d'autorisation



1. Notre client (PSU) vous indique l'identité de son établissement de compte.



2. Vous initiez la séquence de récupération du jeton d'accès OAuth2 en redirigeant le client (PSU), via son navigateur internet, vers l'infrastructure informatique d'autorisation de l'établissement teneur de compte (ASPSP) et en utilisant la commande : GET /authorize

book picto Voir aussi la spécification de place STET V1.4.0.47 / Part I / section 3.4.3.2 / page 21 



3. Le teneur de compte (ASPSP) va :

  • Identifier et authentifier son client par l'une des méthodes d'authentification forte qu'elle propose et qu’il présente au client ;
  • Effectuer des vérifications liées à votre profil en tant qu'AISP ou CBPII (validité de vos certificats QWAC et QSEALC et de votre rôle, non révocation de votre profil, etc.)



4. Une fois ces vérifications effectuées et si elles sont concluantes, l’établissement bancaire va rediriger le client (PSU) vers votre site en utilisant votre URL de "call-back" (redirection) que vous nous aurez transmise lors du processus de "Go Live".

En effet, l'AISP doit préciser pour son APP consommatrice, une URL qui sera appelée par l'établissement bancaire :

  • Si le PSU a autorisé la récupération de ses données par l'AISP
  • Ou en cas de refus du consentement
  • Ou si la cinématique d'identification et d'authentification est interrompue à l’une de ses étapes (exemple : timeout sur l'écran d'identification ou sur l'écran d'authentification forte).

Si le PSU vous a autorisé à récupérer ses données chez son teneur de compte, vous trouverez dans la réponse à cet appel un code à utilisation unique qui a une durée de vie courte.



5. Via un appel de type POST /token, vous allez pouvoir alors demander directement au teneur de compte votre jeton d'accès OAUTH2 (access_token) avec les éléments reçus précédemment dont le code à utilisation unique.

NB : les requêtes /token du flow Authorization Code doivent être envoyée SANS le paramètre « scope ».

book picto Voir aussi la spécification de place STET V1.4.0.47 / Part I / section 3.4.3.2 / page 22  



6. L’établissement teneur de compte (ASPSP) va :

  • Effectuer des vérifications liées à votre profil en tant qu'AISP ou CBPII (validité des certificats et de votre agrément, non révocation de votre profil, etc.)

  • Vous identifier et vous authentifier en tant qu'AISP ou CBPII via votre certificat que vous mettrez à disposition pour sécuriser l'échange mutuel.



7. Une fois ces vérifications effectuées et si elles sont concluantes, le teneur de compte va vous renvoyer une réponse HTTP200 (OK) contenant, entres autres, le jeton d'accès OAUTH2 (access_token).

book picto Voir aussi la spécification de place STET V1.4.0.47 / Part I / section 3.4.3.2 / page 23 



8. Dès que le jeton d'accès OAUTH2 (access_token) délivré par la banque a été récupéré par vos soins, vous pourrez le présenter pour pouvoir consommer les ressources de l'API.

Ce jeton est accompagné d’un refresh_token valable 90 jours que vous devez conserver. Lorsque votre access_token arrive à expiration, vous pouvez en redemander un nouveau en suivant la rubrique "Vue d'ensemble" > "Rafraîchir votre jeton".

Au bout de 90 jours votre refresh_token arrive à expiration. Pour en récupérer un nouveau, vous devrez reprendre cette cinématique"Récupérer votre jeton" et passer, de facto, par une nouvelle étape d’authentification forte du client auprès de son établissement bancaire (cf. point 3. ci-dessus). 

Pour plus de détails, voir aussi OAUTH 2.0 Authorization Framework : https://tools.ietf.org/html/rfc6749#section-4.1



➤ Exemple

Un exemple de requête est fourni dans la rubrique "Comment tester l'API ?" > "Assemblage sandbox".