Служба Аутентифікації Банку
Дії в DCM
Банк повинен запровадити авторизацію дій DCM. JWT. Визначається «хто» (суб’єкт) має намір робити з «чим» (об’єкт). Зміст JWT має відповідати вимогам (див JWT формат).
Чи можна використовувати власний JWT?
Так! Можна використовувати власний JWT, але необхідно надати DCM свій публічний ключ. Формат маркера описано нижче.
Його слід надіслати в заголовку CX-Authorization.
Важливо, що DCM не перевіряє жодних правил дозволу для запитів з власним JWT Банку: Авторизація виконується на стороні Банку.
Якщо сервіс виявив, що суб’єкту дозволено маніпулювати об’єктом, має бути надіслана успішна відповідь (подробиці див. нижче). В іншому випадку слід використовувати HTTP 401 (неавторизовано).
Методи callback
Усі URI відносяться до основного хосту.
GET
/user_auth
на основі даних користувача "obj"
Вхід клієнта
GET
/key
секретний ключ користувача
external id
GET
/external_id
аутентифікація
external id
1. GET /user_auth
Приклад запиту:
curl "https://{bank's auth host}/user_auth" --header "X-Session-ID:token"Приклад відповіді:
{
"external_id":"123456789", // up to 500 symbols
"first_name":"mock",
"last_name":"mock",
"email":"[email protected]",
"phone":"+12345678901",
"key":"secret"
}Обов'язкові атрибути у відповіді external_id і key.
2. GET /key
Приклад запиту:
curl "https://{bank's auth host}/key" --header "X-Session-ID:token"Приклад відповіді:
{
"key":"secret"
}3. GET /external_id
Приклад запиту:
curl "https://{bank's auth host}/external_id" --header "X-Session-ID:token"Приклад відповіді:
{
"external_id":"123456789"
}Last updated