6.3. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования" СТО БР ФАПИ.СЕК-1.6-2020" (принят и введен в действие приказом Банка России от 09.10.2020 N ОД-1650)

6.3.1. Конечные точки ресурсов возвращают клиенту защищенную информацию владельца ресурса, связанного с предъявленным токеном доступа.

6.3.2. Сервер ресурсов, предоставляющий доступ к данным в соответствии с настоящим стандартом:

1 должен поддерживать метод HTTP GET;

2 должен принимать токены доступа в HTTP заголовке в соответствии с пунктом 5.6.2;

3 не должен принимать токены доступа в параметрах запроса;

4 должен проверять, что срок действия токена доступа не истек и токен доступа не отозван;

5 должен проверять, что область действия (параметр <scope>), связанная с предъявленным токеном доступа, разрешает чтение ресурса, который запрашивается;

6 должен идентифицировать объект, связанный с токеном доступа;

7 должен возвращать только ресурс, соответствующий объекту, явно указанному в запросе на доступ, и при условии, что доступ к этому ресурсу является допустимым с учетом разрешенной области действия, иначе возвращать ошибку (см. подпункт 5.4.2.9);

8 должен кодировать ответ в UTF-8;

9 должен отправлять параметр <Content-Type> HTTP заголовка в виде "Content-Type: application/JSON; charset = UTF-8";

10 должен отправлять текущую дату на сервере в HTTP заголовке даты;

11 должен устанавливать в качестве значения заголовка ответа <x-FAPI-interaction-id> либо значение, полученное из соответствующего заголовка запроса клиента, либо значение UUID, если заголовок запроса не предоставлялся для отслеживания взаимодействия, например, "x-FAPI-interaction-id: c770aef3-6784-41f7-8e0e-ff5f97bddb3a";

12 должен регистрировать значение <x-FAPI-interaction-id> в записи журнала регистрации.

Примечания

1 Форматы и алгоритмы формирования UUID определены в RFC 4122 [40].

2 Для получения информации об объекте, связанном с токеном доступа и предоставленной областью действия, сервер ресурсов может использовать протокол интроспекции токена, описанный в RFC 7662 [38].

6.3.3. Клиент, реализующий доступ к защищенному ресурсу в соответствии с требованиями данного стандарта:

1 должен отправлять токены доступа в заголовке HTTP в соответствии с пунктом 5.6.2;

2 может отправлять последнюю дату регистрации пользователя в клиенте в заголовке <x-FAPI-auth-date>, причем значение предоставляется в формате HTTP даты; например, "x-FAPI-auth-date: Tue, 11 Sep 2012 19:43:31 GMT";

3 может отправлять в заголовке <x-FAPI-customer-ip-address> IP-адрес пользователя, если эти данные ему доступны; например, "x-FAPI-customer-ip-address: 198.51.100.119";

4 для синхронизации записей журналов регистрации клиента и сервера ресурсов может отправлять серверу заголовок <x-FAPI-interaction-id> запроса, значением которого является UUID; например, "x-FAPI-interaction-id: c770aef3-6784-41f7-8e0e-ff5f97bddb3a".