No contexto da API Payment Initiation das APIs de Serviços, os payloads de mensagem de consentimento e de pagamento que trafegam, tanto por parte da instituição iniciadora de transação de pagamento quanto por parte da instituição detentora de conta, devem estar assinados. Abaixo temos as orientações para assinatura das mensagens JWS.
Informações complementares de segurança podem ser consultadas em [PT] Open Finance Brasil Financial-grade API Security Profile 1.0 Implementers Draft 3 (atualizado).
Passo 1 - Identifique a chave privada e o certificado de assinatura correspondente a serem usados para assinatura:
As assinaturas devem ser realizadas com uso do certificado digital de assinatura especificado no [PT] Padrão de Certificados Open Finance Brasil 2.1 (atualizado).
O certificado de assinatura deve ser válido no momento da criação do JWS.
...
Para garantir a integridade e o não-repúdio das informações tramitadas em API´s sensíveis e que indicam essa necessidade na sua documentação, deve ser adotado a estrutura no padrão JWS definida na [RFC7515] e que inclui:
Cabeçalho (JSON Object Signing and Encryption – JOSE Header), onde se define o algoritmo utilizado e inclui informações sobre a chave pública ou certificado que podem ser utilizadas para validar a assinatura;
Payload (JWS Payload): conteúdo propriamente dito e detalhado na especificação da API além de informações sobre claims JWT ;
Assinatura digital (JWS Signature): assinatura digital, realizada conforme parâmetros do cabeçalho.
O payload das mensagens (requisição e resposta JWT) assinadas devem incluir as seguintes claims presentes na RFC7519:
...