search

bacen / pix-api

API Pix: a API do Arranjo de Pagamentos Instantâneos Brasileiro, Pix, criado pelo Banco Central do Brasil.
https://bacen.github.io/pix-api
2.36k stars 268 forks source link

Especificação para .well-known #176

Closed cryptographix closed 3 years ago

cryptographix commented 3 years ago

Lendo o manual de segurança 3.1, não conseguimos entender como implementar a recomendação de "carga-prévia' das chaves públicas, nem do lado pagador nem recebedor.

O manual recomenda a manutenção de um diretório './well-known', contendo, por exemplo, um arquivo 'host-meta' com URL(s) apontando para o(s) arquivo(s) JWK Set.

Duas perguntas: 1) se o 'host-meta' é apenas um exemplo, como um PSP pagador poderá saber onde encontrar as URLs? Procurar em quais arquivos dentro do '.well-known'?

2) O host-meta é um arquivo xml com elements . Está definido algum tipo específico para JWK Sets? Como o PSP recebedor indica o caminho do seu JWK Set?

Obrigado

ninrod commented 3 years ago

Lendo o manual de segurança 3.1, não conseguimos entender como implementar a recomendação de "carga-prévia' das chaves públicas, nem do lado pagador nem recebedor.

O manual recomenda a manutenção de um diretório './well-known', contendo, por exemplo, um arquivo 'host-meta' com URL(s) apontando para o(s) arquivo(s) JWK Set.

se o 'host-meta' é apenas um exemplo, como um PSP pagador poderá saber onde encontrar as URLs? Procurar em quais arquivos dentro do '.well-known'?

O host-meta é um arquivo xml com elements . Está definido algum tipo específico para JWK Sets? Como o PSP recebedor indica o caminho do seu JWK Set?

Realmente, no Manual de Segurança do Pix consta a recomendação de se utilizar o diretório /.well-known/ e, como exemplo, o arquivo host-meta, para facilitar a carga prévia dos JWK Sets pelos clientes de outros PSPs, mas de fato não é especificado em detalhe como esses recursos poderiam ser utilizados. No entanto, o que se objetivou ali foi apenas nortear que há tecnologias e boas práticas existentes que podem ser utilizadas para otimizar a performance do processamento dos QR Codes dinâmicos. Não se objetivou ser taxativo e definir como implementar essa técnica mencionada ou outras, uma vez que isso poderia ser melhor analisado pelo próprio mercado, ao implementar as funcionalidades. Entendemos que os agentes do mercado devem eventualmente se comunicar para definir as melhores práticas nesse contexto.