Fidi X Developer Preview
  1. Fidi X
Fidi X Developer Preview
  • Fidi X
    • Diccionario de Datos - Enumeraciones
    • Autenticación
      • Obtener Token de Acceso
    • Ledgers
      • Activate Ledger
      • Disable Ledger
    • Assets
      • Create Asset
      • Get Assets
      • Get Asset
      • Activate Asset
      • Disable Asset
    • Cuentas
      • Crear Cuenta
      • Obtener Cuenta por ID
      • Listar Cuentas por Ledger
      • Actualizar Cuenta
      • Eliminar Cuenta
      • Suspender Cuenta
      • Activar Cuenta
      • Obtener Balance de Cuenta
    • Personas
      • Crear Persona
      • Listar Personas
      • Obtener Persona por ID
      • Get Person Hierarchy
      • Block Person and Descendants
      • Unblock Person and Descendants
    • Transacciones
      • Crear Transacción
    • Webhooks
      • Crear Suscripción de Webhook
      • Listar Suscripciones de Webhook
      • Obtener Suscripción de Webhook
      • Actualizar Suscripción de Webhook
      • Eliminar Suscripción de Webhook
      • Listar Tipos de Eventos Disponibles
      • Listar Eventos de Webhook Enviados
      • Simular Transferencia Externa Entrante
  • Schemas
    • ErrorResponse
    • PersonHierarchyResponse
    • UpdateAccountRequest
    • AuthResponse
    • BlockPersonDataResponse
    • HTTPValidationError
    • CreateWebhookSubscriptionRequest
    • CreateAccountRequest
    • UpdateWebhookSubscriptionRequest
    • AssetResponse
    • AccountResponse
    • CreateAssetRequest
    • WebhookSubscriptionResponse
    • AssetListResponse
    • WebhookSubscriptionListResponse
    • AccountDetailResponse
    • LedgerResponse
    • WebhookEventTypesResponse
    • BalanceResponse
    • CreatePersonRequest
    • WebhookEventType
    • WebhookEventsListResponse
    • PersonResponse
    • WebhookEventRecord
    • PersonDataResponse
    • SimulateExternalTransferRequest
    • PersonListResponse
    • SimulateExternalTransferResponse
    • TransactionOperation
    • CreateTransactionRequest
    • TransactionResponse
  1. Fidi X

# 🔐 Autenticación – FIDI X (v1)

Introducción#

Para garantizar una integración segura y confiable, FIDI X protege todas sus APIs mediante un mecanismo de autenticación estándar, basado en tecnologías ampliamente adoptadas en la industria financiera.
El objetivo de esta primera versión es verificar la identidad de quien consume las APIs, asegurando que cada solicitud provenga de un cliente, sistema o aplicación previamente autenticada.
📌 Importante:
En esta versión no se aplican reglas de autorización (roles, permisos o restricciones por operación).
El control de acceso avanzado se incorporará en versiones posteriores.

🧩 ¿Cómo funciona la autenticación en FIDI X?#

FIDI X utiliza un modelo de autenticación centralizado, apoyado en un proveedor de identidad externo y tokens de acceso seguros.
El proceso general es el siguiente:
1.
El cliente se autentica contra el proveedor de identidad.
2.
Se obtiene un Access Token.
3.
El token se envía en cada llamada a las APIs de FIDI X.
4.
FIDI X valida el token antes de procesar la solicitud.

🔑 Tecnologías Utilizadas#

La autenticación en FIDI X se basa en los siguientes estándares:
OAuth 2.0: protocolo para la obtención de tokens de acceso.
OpenID Connect (OIDC): extensión de OAuth 2.0 para identidad.
JWT (JSON Web Token): formato seguro del token.
Keycloak: proveedor de identidad (Identity Provider).
Estos estándares permiten una integración sencilla, segura y compatible con múltiples lenguajes y plataformas.

🔐 Proveedor de Identidad#

FIDI X utiliza Keycloak como proveedor de identidad central.
El proveedor de identidad es responsable de:
Autenticar aplicaciones, servicios o usuarios.
Emitir tokens de acceso firmados (JWT).
Gestionar clientes OAuth 2.0.
Publicar claves públicas para validación de tokens.
📌 Las APIs de FIDI X no manejan credenciales directamente.

🔁 Flujos de Autenticación Soportados#

1️⃣ Client Credentials (Recomendado)#

Este es el flujo principal para integraciones con FIDI X.
Está diseñado para:
Integraciones backend a backend.
Partners que consumen las APIs desde sus sistemas.
Procesos automáticos o servicios.
Cómo funciona:
1.
El cliente solicita un token al proveedor de identidad usando su client_id y client_secret.
2.
El proveedor valida las credenciales.
3.
Se emite un Access Token.
4.
El cliente utiliza el token para consumir las APIs de FIDI X.
Este flujo no involucra usuarios finales.

2️⃣ Authorization Code + PKCE (Opcional)#

Este flujo se utiliza únicamente cuando existe interacción directa con usuarios (por ejemplo, portales o backoffice).
Características:
Autenticación interactiva.
Redirección al proveedor de identidad.
Emisión de token tras login exitoso.
📌 Este flujo es opcional y solo se habilita para clientes que lo requieran.

📥 Uso del Token en las APIs#

Todas las llamadas autenticadas a FIDI X deben incluir el token en el siguiente header HTTP:
Sin este header, la solicitud será rechazada.

🔍 Validación del Token#

Antes de procesar una solicitud, FIDI X valida el token recibido.
En esta versión se verifica:
Firma del token.
Fecha de expiración.
Emisor del token.
Audiencia esperada.
📌 La validación es local y automática, sin llamadas adicionales al proveedor de identidad.

⏱️ Vigencia de los Tokens#

Tipo de TokenDescripción
Access TokenToken JWT utilizado para consumir las APIs
DuraciónCorta (entre 5 y 15 minutos)
RenovaciónMediante nueva autenticación
RevocaciónPor expiración del token

🛡️ Recomendaciones de Seguridad para Clientes#

Para una integración segura, se recomienda:
Utilizar siempre HTTPS.
Proteger el client_secret y no exponerlo públicamente.
No almacenar tokens en logs o repositorios.
Renovar los tokens cuando expiren.
Rotar credenciales periódicamente.

🚧 Alcance de la Versión 1#

Esta versión cubre exclusivamente:
Autenticación de clientes y servicios.
Validación de identidad mediante tokens.
Quedan fuera de alcance:
Autorización por roles o permisos.
Restricciones por tipo de operación.
Autenticación multifactor (MFA).
OTP o validaciones adicionales.

✅ Beneficios para el Cliente#

Integración simple y estandarizada.
Seguridad alineada a buenas prácticas fintech.
Bajo acoplamiento técnico.
Preparación para futuras capas de seguridad.
Modificado en 2026-01-14 21:02:55
Anterior
Diccionario de Datos - Enumeraciones
Siguiente
Obtener Token de Acceso
Built with