comdirect

Hallo @SMT_Jan-Ove ,

vielen Dank für die Antwort und schön zu wissen, dass Ihr Euch Kritik anhört und teilweise umsetzt. 

Die Argumentation, dass clients die Dienstleistung anbieten anders gestellt werden als Kontoinhaber erschließt sich mir leider nicht.

Weiterhin schreibst Du, dass die Privatkunden-API nur auf die Konten und Depots zugreifen kann die an die Client-Credentials gekoppelt sind. Warum wurde dann im ersten Schritt nicht gleich der Client Credentials Grant verwendet? Wenn nur client_id und client_secret relevant sind dann wäre es doch sinnvoller auf Kundennummer und PIN zu verzichten? Weniger sensible daten ist doch gut, oder? 

Bleiben die Scopes. Ich würde gerne den Scope selbst einzgrenzen, z.B. nur lesenden Zugriff auf Konten. Angenommen ich schreibe eine Applikation die lediglich meine Kontoumsätze anzeigt. Dann ist es empfehlenswert die Berechtigungen auf das Notwendigste einzugrenzen. Wie es der OAuth2-Standard eigentlich erfordert. Das ist mit der comdirect REST API nicht möglich. Der von Euch selbst entwickelte CD Secondary Flow erlaubt das nicht. Der gibt vielmehr die scopes vor. 

Viele Grüße

Hallo @raupach,

die clientCredentials sind an den registrierten Kunden gekoppelt. Dieser kann aber mehrere Kontoverbindungen bei der comdirect haben, auf die über das API separat zugegriffen werden muss. Hierdurch reicht der ClientCredentialsFlow nicht aus.

Deinen Vorschlag bzgl. der Scope-Selektion geben wir an die entsprechende Fachabteilung weiter.

Beste Grüße

Jan-Ove

Hallo @SMT_Jan-Ove 

kurze Frage, kann es sein, dass das refresh_token eine sehr kurze Laufzeit hat? 10-20 Minuten?

Hallo @raupach,

die 20 Minuten sind tatsächlich korrekt.

Beste Grüße

Jan-Ove

Hallo @SMT_Jan-Ove ,

danke für die rasche Antwort. Kannst Du mal in der Fachabteilung nachfragen wie ich dann als Entwickler eine vernünftige Anwendung entwickeln soll? Ich kann doch nicht eine App schreiben, die den Anwender zwingt, sich alle 20 Minuten neu anzumelden. Und alle paar Minuten den Refresh Token Flow anzuwerfen ist ebenfalls nicht machbar. Das ist nicht im Sinne von OAuth2. Dann hätte man gleich auf das Refresh Token verzichten könnten. 

Zum Vergleich ein Refesh Token bei Google ist unbegrenzt gültig, bei den meisten anderen Anbieter die ich so kenne sind Refresh Tokens meist irgendwo zwischen 30 - 90 Tagen gültig.

Grüße

Björn Raupach

Hallo @raupach,

die Gültigkeiten für Access- und Refresh-Tokens sind aus Sicherheitsgründen und zum Schutz der Daten des Kunden so gewählt und entsprechen den Standard-Sessionzeiten im Persönlichen Bereich der comdirect. Auch hier müssen nach 10 Minuten Inaktivität erneut die Zugangsdaten eingegeben werden.

Beste Grüße

Jan-Ove

Hallo @SMT_Jan-Ove 

das beantwortet meine Frage leider nicht. Wie soll ein Entwickler damit den eine Anwendung entwickeln? Der Rest der Welt schafft es doch aus?

Bleibt leider mein Statement stehen. Die comdirect REST API ist eine nette Spielerei,  aber nicht wirklich nutzbar um dagegen Anwendungen zu entwicken. 

Hallo @raupach,

es gibt sowohl für kurze als auch für länger gültige Refresh Tokens gute Gründe. Ein Vorteil von langen Gültigkeiten ist, wie du beschreibst, ein größerer Komfort für den Nutzer. Kürzere Gültigkeitsdauern ermöglichen mehr Sicherheit. Refresh Tokens sind schließlich sehr mächtig und ersetzen die Eingabe von Zugangsnummer und PIN.

Als Bank sind wir hohen Sicherheitsstandards verpflichtet und die Tokens müssen in deiner Anwendung sicher verwahrt werden. Würde ein sehr lange gültiger Refresh Token öffentlich werden, könnte ein Angreifer Zugriff auf deine Bankdaten bekommen. Den Nutzungsbedingungen entsprechend wäre also eine Anwendung programmierbar, die am Anfang einer Session deine Zugangsdaten abfragt und bei Ablauf des Access Tokens automatisch mit dem Refresh Token ein neues Access Token holt. Das geht z. B. per Cronjob, wie auch schon andere Mitglieder unserer Community beschrieben haben.

Beste Grüße

Jan-Ove