Versões comparadas

Versão Versão antiga 2 Nova versão Atual
Alterações feitas por

Diego Augusto Amorim Santos Camurri

Diego Augusto Amorim Santos Camurri

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

A iniciadora não deve usar comportamento idempotente do POST/PATCH para pesquisar o status dos recursos. (repetido abaixo)

Conjunto inicial de regras propostas na aplicação da

...

idempotência:

  • A iniciadora/TPP não deve alterar o corpo da solicitação ao usar a mesma chave de idempotência. Se a iniciadora alterar o corpo da solicitação, a detentora/ASPSP não deve modificar o recurso final. A detentora pode tratar este caso como uma ação fraudulenta;

  • A detentora não deve criar um novo recurso para uma solicitação POST/PATCH se estiver determinada como uma solicitação idempotente;

  • Na criação a detentora deve responder à solicitação com o status atual do recurso (ou um status que seja pelo menos tão atual quanto o que estiver disponível nos canais eletrônicos existentes) e um código de status HTTP 201 (CREATED);

  • A iniciadora não deve usar comportamento idempotente para pesquisar o status dos recursos;

  • A detentora pode usar a assinatura da mensagem, junto com a chave de idempotência, para garantir que o corpo da solicitação não seja alterado;

  • Para a API de Iniciação de Pagamentos, a chave de idempotência deverá ser armazenada para controle quando a requisição for processada com sucesso (HTTP Status 201) ou quando ocorrer um erro de negócio (HTTP Status 422);

  • Para a API Consentimentos de Pagamento, a chave de idempotência deverá ser armazenada para controle quando a requisição for processada com sucesso (HTTP Status 201);

  • O comportamento idempotente deve ser mantido por 24 horas para uma mesma chave de idempotenciaidempotência;

  • Toda nova requisição exige que a assinatura da mensagem seja refeita, contendo um novo jti e iat.

...

  1. Ao receber uma requisição com o mesmo x-idempotency-key e com a claim data do JWT com conteúdo idêntico ao da requisição original, a requisição deverá ser processada entregando o mesmo resultado obtido anteriormente. Isso significa que, caso a requisição inicial tenha criado um recurso, este mesmo recurso deverá ser retornado, com seu status atualizado;

  2. Ao receber uma requisição com o mesmo x-idempotency-key e com a claim data do JWT com conteúdo diferente do original a requisição deverá ser recusada com o HTTP Status 422 com código NAOERRO_INFORMADOIDEMPOTENCIA;

  3. Ao receber uma requisição com o mesmo x-idempotency-key e com a claim iss não pertencente a organização que possui o software cliente (clientId) a requisição deve ser recusada com o HTTP Status 403;

  4. A validação de idempotência deve ser feita no escopo de cada endpoint separadamente (não globalmente), ou seja, toda detentora deve aceitar o reuso da idempotency key chave de idempotência(x-idempotency-key) em endpoints diferentes.