FAPI 2.0

FAPI 2.0 是基于 OAuth 2.0 框架的 API 安全配置文件，适用于保护高价值场景中的 API

核心 FAPI 功能分为两份文档，第三方介绍攻击者模型

• FAPI 2.0 安全配置文件
• FAPI 2.0 消息签名
• FAPI 2.0 攻击者模型

FAPI 引用规范

• RFC 6749 - OAuth 2.0 框架
• RFC 6750 - OAuth 2.0 Bearer 令牌使用
• RFC 7521 - OAuth 2.0 客户端身份验证和授权授予的断言框架
• RFC 7523 - OAuth 2.0 客户端身份验证和授权授予的 JWT 配置文件
• RFC 7636 - 代码交换的证明密钥
• RFC 7662 - OAuth 2.0 令牌自省
• RFC 8252 - 原生应用的 OAuth 2.0 BCP
• RFC 8414 - OAuth 2.0 授权服务器元数据
• RFC 8705 - 相互 TLS 客户端身份验证和证书绑定访问令牌
• RFC 8725 - JSON Web 令牌最佳实践
• RFC 9101 - JWT 保护的授权请求 (JAR)
• RFC 9126 - 推送授权请求 (PAR)
• RFC 9207 - OAuth 2.0 授权服务器颁发者标识
• DPoP - 演示应用程序层拥有的证明
• OAuth 令牌自省的 JWT 响应
• RFC 9421 - HTTP 消息签名
• RFC 9530 - HTTP Digest 标头
• OAuth 2.0 的 JWT 保护的授权响应模式 (JARM)

更多资源

• 与 Torsten 探讨金融级 API (FAPI) (Identity Unlocked Podcast)
• FAPI 2.0：安全配置文件（更简单的安全，当然！） (Raidiam)
• 所有 OpenID FAPI 工作组草案