Buongiorno a tutti,
vi scrivo per sapere se qualcuno può aiutarmi a capire come realizzare un’API Rest di erogazione servizi per la PDND.
In particolare una volta che il fruitore ha il voucher e di conseguenza l’access_token invocherà l’API dell’erogatore sulla base della specifica caricata nel’e-Service (X-Auth-Token inserita nell’header).
Quello che non mi è chiaro è come fa l’API a validare la richiesta? Deve fare un particolare controllo tramite il valore del token?
Non conosco come funziona il mondo del PDND… ma credo che questo post su un altro topic possa aiutarti:
Ho già visto ma non mi spiega bene il funzionamento del controllo dell’access_token
Ciao Elia, il link alla documentazione ufficiale è questo:
Ciao,
sto seguendo la documentazione ma quando effettuo la verifica della firma come indicato nella documentazione che riporto di seguito:
“All’interno del file, l’erogatore cerca l’oggetto che ha lo stesso kid presente nell’header del voucher. In quello stesso oggetto troverà la chiave pubblica al parametro n . Effettuerà dunque una verifica della firma, che la chiave privata usata per firmare il voucher corrisponda a quella pubblica appena ottenuta.”
utilizzando il comando:
$expectedSignature = hash_hmac( ‘sha256’, $base64UrlHeader.“.”.$base64UrlPayload, $signature, true );
dove $signature è il valore del parametro “n” preso dal’url https://uat.interop.pagopa.it/.well-known/jwks.json, mi restituisce un valore di 43 caratteri quando invece la firma che dovrei confrontare dovrebbe essere di 342 caratteri.
Non capisco dove sto sbagliando.
