REST API Refresh Token
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 05.01.2021 13:34
Hallo zusammen,
ich habe mir eine API-Schnittstelle geschrieben, die soweit auch ganz gut funktioniert.
Großen Dank an die Entwickler!
Allerdings gibt es ein/zwei Themen die ich mir noch unklar sind.
1. Wie lang ist das Refresh-Token gültig? Also wie lang nach Ausstellung des eigentlichen Account-Tokens kann ich das Refresh-Token nutzen, um ein neues Account-Token zu erhalten? Anscheinend ist es beim normalen Login ja nicht nötig, das Account-Token aller 10 Minuten aktiv zu erneuern - hier scheint es einen Refresh im Hintergrund zu geben.
Ein Versuch, ein neues Account-Token NACH dem Ablauf der 559 Sekunden zu ziehen scheiterte mit der Meldung "invalid token".
2. Da die derzeitige Anzahl der Transaktionsabrufe leider stark begrenzt ist, möchte ich gern einen reglmäßigen automatischen Abruf erstellen. Leider kommt mir hier die Push-TAN in die Quere. Gibt es mittels 1. eine Lösung oder habt ihr einen anderen Vorschlag?
3. Eure Doku(pdf) ist an einigen Stellen äußerst unstimmig. Beispielsweise funktioniert die unter 4.1 angegeben URL zum Abruf der Kontoinformationen nicht. Wenn man genau liest, sieht man, dass einmal "/banking/clients/user/v1/accounts/balances" und ein andermal "/banking/clients/clientId/v2/accounts/balances" angegeben ist. Erste funktioniert, zweite nicht... Bitte mal überarbeiten.
Danke - Sven
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 12.01.2021 11:29
Hallo @ZwenAusZwota,
das Refresh-Token hat eine Gültigkeit von 20 Minuten, das Access Token eine Gültigkeit von 10 Minuten. Analog dazu, wie sich deine Session-Zeit im Web-Login automatisch um 10 Minuten verlängert, wenn du innerhalb der zehn Minuten eine Aktion durchführst, lässt sich das Refresh-Token nutzen, um mit einem neuen Access Token weiterzuarbeiten. Bis zu 20 Minuten nach Ausstellung eines Access Tokens lässt sich also mit dem Refresh Token ein neues Access Token anfordern.
Die TAN-Eingabe beim Login dient als Session-TAN und als zweiter Faktor für die starke Kundenauthentifizierung nach PSD2, also zu deinem Schutz. Technisch ist es aber möglich, die Session mit dem Refresh-Token zu verlängern. Wir weisen aber darauf hin, dass laut Nutzungsbedingungen der comdirect REST API die Anwendung des Kunden vom Kunden selbst über einen Bildschirmarbeitsplatz bedient werden müssen und zum Beispiel eine Orderanlage nicht durch einen Algorithmus erfolgen darf.
Beide Varianten zum Abruf der Kontoinformationen sind korrekt. Du kannst als Identifier deine clientId benutzen (ohne geschweifte Klammern), die du zum Beispiel in der Antwort dieses Requests findest. Der Einfachheit halber darf „user“ verwendet werden.
Beste Grüße
Jan-Ove
