Hi Comdirect API Team,
gerne würde ich die Diskussion aufgreifen bezgl. der Laufzeit / Gültigkeit des Session Cookies für die Auth auf der API Ebene:
1) ich verstehe, dass die API auf den ersten Blick aus regulatorischer Sicht "von Art und Weise her" erstmal einem Retail-Produkt analog gesetzt wird; vertragsrechtlich läuft die API ja auch über einen Vertrag in "einer Endkunden-artigen Ausprägung"
2) wir verstehen auch, dass insb. durch die PSD2 & Co die Richtlinien bezüglich 2FA und Session Laufzeit/etc. die Zügel angezogen wurden
Ich möchte hiermit aber anders argumentieren und eine Aufweichung der 24h Stundenregel erwirken (Attacke! 😄 *lach) - ich sage:
1. Der API Zugang ist ganz klar ein "mindestens semi-professionelles" Produkt; kein Ottonormal-User benutzt die API intensiv, insb. im schreibenden Zugriff
2. Der API Zugang kann auch in vollem Umfang ausschließlich von Leuten mit einem professionellen Background bedient werden
3. Daraus leitet sich ab, implizit: Die Session Laufzeit auf Standard-Userinterface Ebene hat sich nach den gängigen Restiktionen zu richtigen - jedoch hat die Session Laufzeit auf der Ebene der M2M Communication (bzw API) ganz klar nichts mit der Ebene des Endkundenzugangs via Web/App-Frontend zu tun, daher ist der API-Zugang ein grundsätzlich eher professionelles Instrument
4. Darus ergibt sich meiner Ansicht nach: Die Session Laufzeit für die Auth. auf API Ebene - und nur dort - darf deutlich über 24h liegen bzw. muss nach Ermessen des Entwicklers auch ganz deaktiviet werden können.
Please discuss! 🙂
