bacen / pix-api

API Pix: a API do Arranjo de Pagamentos Instantâneos Brasileiro, Pix, criado pelo Banco Central do Brasil.
https://bacen.github.io/pix-api
2.36k stars 268 forks source link

Tempo de resposta do GET /url-access-token #173

Closed cryptographix closed 3 years ago

cryptographix commented 4 years ago

Estamos vendo excessiva demora de alguns PSPs em devolver o payload. Pode ser que seja problema em ambiente de teste e homologação, mas queria perguntar se há alguma recomendação sobre "tempo de resposta" máximo e/ou timeouts para conexão HTTPS e recuperação do payload assinado.

Outra questão, estamos vendo que alguns PSPs não estão incluíndo os certificados intermediários na conexão TLS. Para tanto, estamos habilitando a opção de AIA na biblioteca HTTP, justamente para não recusar payloads destes PSPs. O BACEN está considerando a criação de um roteiro/ferramenta de homologação para QR dinâmico? São muitas combinações de PSP, cada qual com configurações diferentes, payloads mistos (1.x, 2.0, 2.0+, 2.1), JWS e JWKS, etc.

ninrod commented 4 years ago

@SeanWykes ,

Estamos vendo excessiva demora de alguns PSPs em devolver o payload

Importante relato. Você pode encaminhar estes casos específicos diretamente para a caixa do Pix para que o DECEM encaminhe a questão.

mas queria perguntar se há alguma recomendação sobre "tempo de resposta" máximo e/ou timeouts para conexão HTTPS e recuperação do payload assinado.

@SeanWykes, não consigo consultar agora, mas acredito que não esteja especificado no "Manual de Tempos" do Pix. Consegue confirmar? É uma questão importante, realmente.

Outra questão, estamos vendo que alguns PSPs não estão incluíndo os certificados intermediários na conexão TLS. Para tanto, estamos habilitando a opção de AIA na biblioteca HTTP, justamente para não recusar payloads destes PSPs. O BACEN está considerando a criação de um roteiro/ferramenta de homologação para QR dinâmico? São muitas combinações de PSP, cada qual com configurações diferentes, payloads mistos (1.x, 2.0, 2.0+, 2.1), JWS e JWKS, etc.

Certo, vou pedir para o @dmkamers analisar este parágrafo.

ninrod commented 3 years ago

@SeanWykes , confirmado que não há especificação de ANS para o payload JSON.

Vamos encaminhar a questão. Obrigado pelo reporte.

dmkamers commented 3 years ago

@SeanWykes o acesso seguro (https) ao location corresponde ao cenário típico web/mobile, e os PSPs devem se preocupar em causar o mínimo de atrito, assim como fariam para seus sítios web (por exemplo). Sendo ambiente aberto e heterogêneo, há compromisso forte com a flexibilidade. Então evitamos fechar demais as especificações. Acreditamos que haverá convergência. Mas não está nos planos no momento disponibilizar roteiros ou ferramentas para homologação de QRCodes dinâmicos (acesso aos locations/payloads). As dificuldades podem ser relatadas ao Bacen (como o Filipe indicou), para avaliação.