comdirect

paulk · ‎11.11.2020

Hallo liebes comdirect-Team,

gibt es die Möglichkeit über api.comdirect.de Transaktionen eines Kontos auszulesen, ohne vorher einen TAN-Authentifizierungsprozess zu durchlaufen? Mir ist klar, dass dieser Prozess notwendig ist, wenn man zum Beispiel neue Überweisungen durchführt, aber im persönlichen Bereich ist es ja auch möglich, die Transaktionen eines Kontos anzusehen, ohne vorher eine TAN angeben zu müssen. Wenn ich aber die Dokumentation richtig verstanden habe, ist das bei API-Anfragen immer der Fall.

Über eine Rückmeldung würde ich mich sehr freuen.

Besten Gruß

Paul Kretschel

Christof.K · ‎12.11.2020

Hallo,

definitv ein Sache, ich auch ich mir wünschen würde.

Es gibt bereits jetzt eine Möglichlichkeit, bei der man die TAN nur einmal und dannach gelegentlich eingeben muss. Der Access-Token hat üblicherweise eine Gültigkeit von 10 Minuten. Wenn man ihn vor Ablauf seiner Gültigkeit immer erneuert (3.1.1 Refresh-Token-Flow) , bleibt man "angemeldet" und kann jederzeit neue Anfragen stellen.

Hierzu muss allerdings alle paar Minuten (z.B. 9) der Access-Token erneuert werden, d.h. dass der Server permanent Anfragen versenden muss. Zudem kann es vorkommen, dass die comdirct den Server für Wartungsarbeiten vorübergehend ausschaltet. Dann muss eine neuer Access-Token erstellt werden und eine neue TAN muss eingegeben werden.

Vorallem unlogisch finde ich es, dass man neben der client_id und dem client_secret auch immer den usernamen und passwort mitsenden muss. Und mit genau diesen Zugangsdaten bekommt man im onlinebanking Zugang auf die Transaktionen, ohne eine TAN eingeben zu müssen. Normalerweise ist es doch der Sinn der client_id und des client_secret, dass die "richtigen" Passwörter nicht gesendet und gespeichert werden müssen. Hier habe ich das Gefühl, dass die comdirect auf Hosenträger und Gürtel gleichzeitig setzt, es der Hose aber nicht mehr Halt gibt.

Ich würde mir auch die Möglichkeit wünschen, dass man die Buchungsübersicht und die Kontostände ohne TAN Eingabe bekommen könnte. Erst wenn es an Überweisungen geht, bin ich froh, dass man diese nur mit der TAN erhält.

Beste Grüße

Christof

SMT_Jan-Ove · ‎13.11.2020

Hallo ihr beiden,

es gibt keine Möglichkeit, die Schnittstellen zu den Konten abzurufen, ohne vorher den Zwei-Faktor-Authentifizierungsprozess zu durchlaufen. Die Eingabe des zweiten Faktors, der bei unserer REST API dann als Session-TAN dient, ist durch die Zahlungsdiensterichtlinie PSD2 vorgeschrieben. Diese TAN-Abfrage findet ja auch alle 90 Tage im Web statt und z. B. bei jeder Postbox-Abfrage oder bei der Abfrage von Umsätzen, die älter als 90 Tage sind.

Aus unserer Sicht ist es für die Entwicklung eines Kundenclients bequemer und sicherer, immer eine Session TAN zu Beginn der Sitzung zu fordern und so die PSD2 zu erfüllen. Anderenfalls könnte trotzdem zu jeder Zeit jede Schnittstelle eine TAN anfordern, sobald sensible Daten abgerufen werden.

Zu client_id und client_secret: In OAuth2 muss sich immer sowohl der Client als auch der Nutzer mit eigenen Credentials authentifizieren. Im Onlinebanking-Zugang muss sich der Client nicht authentifizieren, weil er auch auf unseren Servern läuft (und euer Browser über das Zertifikat erkennt, dass die Webseite „echt“ ist). Außerdem gelten client_id und client_secret des Entwicklerzugangs immer für die gesamte Kundenverbindung. Bei Gemeinschaftskonten kann sich zum Beispiel der zweite Kontoinhaber oder ein Bevollmächtigter über die gleichen Client Credentials authentifizieren, aber mit einer anderen Zugangsnummer und PIN.

Beste Grüße

Jan-Ove

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag

SD · ‎28.03.2021

Schade, dass macht die comdirect RestAPI's fuer mich leider unbrauchbar.

Da habe ich bei anderen Banken bessere Loesungen mit mehreren client_ids fuer lesenden (ohne TAN Verfahren) und schreibenden Zugriff gefunden.

SD

comdirect

API Zugriff ohne TAN