本文对独联体国家没有多大用处,但您可能会喜欢
最近,我一直在与多家银行的API进行大量合作。 原因有一个-名为PSD2(修订的付款服务指令)的新指令。 我会告诉你她的事。
参赛作品
一切始于像PayPal这样的公司。 您在PayPal网站上注册,然后依次提取您的信用卡,在必要时从信用卡中提取资金,在其帐户中累积自付额,然后在指定的日期将全部n笔金额发送到在线商店的帐户中。 因此,您的信用卡仍然安全,在线商店可以省钱,这意味着您可以省钱。 看来每个人都很好。
另一方面,出现了一个逻辑问题:商店失去了没有信用卡或不想在互联网上进行个人购物的顾客吗?
在这里,规模较小的公司出现了,它们不使用您的信用卡,而是您的银行帐户。 甚至没有,您的网上银行! 现在,您不需要任何信用卡,也不需要任何PayPal,甚至不需要进行任何转账。 您只需在商店的网站上输入用户名和密码,中介将为您完成其余工作。
您在在线商店的网站上的表格中输入数据,中间人同时将相同的数据输入到在线银行的表格中,然后借助相同的Selenium在您在线银行的此处和那里单击,从而转移到必要的地方。 更准确地说,他还自费将所有资金从那里每两周一次运到商店的帐户中。
当然,在线银行页面上的任何更改都会立即停止工作,这使人们感到烦恼。 但是银行很少改变任何东西,所以这种情况很少发生。
另一件事是,一些银行并不真的喜欢这样的安全漏洞,因此他们试图阻止这种中介机构。 在很长一段时间内,人们都会争论如何成功以及如何做到这一点,但是这篇文章将继续下去。
通常,应这些中介支付系统中的工作人员和工人的要求,欧洲委员会向前推进并发布了一项指令,要求银行创建一个API,该API允许较早使用在线银行进行的所有操作,但现在只能在请求的帮助下进行。 当然,银行非常不高兴,即使没有这些监管机构,它们也有足够的规则可以遵循,但是无可奈何-需要创建它们。
自然,银行也不是胆小怕事,以不同的方式破坏这一法律,因为它们没有从中获得任何好处。 是的,有一些例外,当一切都可以立即正常运行并且文档准备就绪时,但是在大多数情况下,这只是德克萨斯州的电锯大屠杀,不是德克萨斯州的电锯,而是在办公室显示器屏幕前的电子邮件,电话和诅咒。
他们故意破坏。 有些根本不翻译其文档。 就是说,确实如此,但事实并非如此,因为没有Google会出于某种原因帮助翻译90页的西班牙语技术文章。 西班牙人通常生活在自己的真空中,不认识西班牙以外还有某种国际语言。 还有更多的文件以
YAML文件的形式进行了布局,其中没有任何注释,不清楚的发送位置,字段名称没有任何标准,并且您不知道用哪个证书签名或不签名。
破坏活动的顶部是文档页面,其中仅指示API的端点,但原则上不包含带有描述的标头或正文。 甚至没有指示POST或GET请求。 当然,法律部门会追捕此类人士,称对监管机构的投诉可能不会构成罚款,但将来可能会导致对该银行的过度关注。 在大多数情况下,这有所帮助,但时间流逝。
我知道废话银行,现在您可以写法律了。
什么是PSD2?
这是欧盟委员会发布的一项指令,旨在改善在线支付市场,并提高这些支付的安全性。
实际上,仍然有一个PSD,但它只是规范了欧盟各州之间的付款,而没有规范在线付款。 虽然那时2007m的在线支付是多少。
他们以提到的PSD为基础,并以漂亮的名字“开放银行”(open bank)将其固定了十二个章节。 这十章成为银行的头疼和支付系统的喜悦(实际上,银行也为付款人头疼,以免遭受损失。)
PSD2还规范了客户安全性,规定了应如何以及以何种方式传输请求,使用哪些证书以及可以向银行请求什么以及不要求什么。 也就是说,对于付款,您可以请求名字和姓氏以及用户帐户列表,但是即使您提出很多要求,您也不会获得其他任何信息。
现在,您必须向银行索取令牌,注册为可以并且应该代表客户执行任何操作的组织,此外,您还必须具有密钥等。 总的来说,安全性实际上已经大大提高。 恩,双方都有责任。
但是在这里,银行可以自由添加自己的安全层。 例如,银行允许您仅在银行页面上输入客户数据。 也就是说,无论如何,您都必须将用户重定向到银行的页面,然后将他们返回给您(好的,Selenium也可以提供帮助,但是现在银行可以向您发送热烈的问候,并在出现问题时拒绝访问其API)。
好吧,现在介绍明显的(而不是事实)加号
就像我上面说的那样,安全性已经大大提高。 现在,支付系统不再发明自行车,也不会与银行的杂色API交互,而是连接到或多或少的标准化API,因此一切都很好。
现在,如果您是一个付款系统(例如在爱沙尼亚),则可以使用欧洲银行的API接受来自欧洲客户的付款。 为此,您只需要注册为金融机构,阅读大约一百个文档,然后在您的系统中实现所有这些功能。 但是,大多数文档都是英文的,此外,您将或多或少地得到银行的支持。
而且,如果您是欧盟以外的银行,则可以加入此开放式银行,您的客户将能够使用欧洲支付系统进行支付。
好吧,在这里您还可以写一个加号:如果您不是一家大公司,无法打破转账价格并与银行共享股份,那么您现在可以像大公司一样自由地做,因为获得付款的权利现在每个人都平等。
现在关于缺点
有一个指令,但在其工作版本中没有。 即使在银行开始实施实施的一年后的今天,情况还是很普遍的(当然,是的,它们应该已经开始进行工作了……)。
API并不完全统一,就像付款过程一样。 也就是说,您不能为所有银行创建通用的东西,而必须分别调整每个银行的请求功能,这会大大减慢开发速度。
甚至同一家银行在不同国家/地区也可能具有不同的API。 因为每个国家都有自己的监管机构,所以会在流程中添加某种“监管”。 那里您需要其他令牌,那里需要对用户进行三次授权,还有其他事情...
好吧,现在您的支付系统业务完全取决于银行,其服务器可能突然崩溃,并且当整个官僚机器运行并再次启动它们时,可能需要一两天,这将剥夺您可观的收入。 在这种情况下,您不能向银行出示任何东西。
仅此而已。