<div dir="ltr"><div>First of all, don't flatter yourselves to think that any fiduciary institution will accept any payment object from FAPI w/o running it through their own anti-fraud measures.</div><div><br></div><div>Account holders generally have full statutory control of their accounts. That is not your concern.</div><div><br></div><div>Agents for account holders, called users in some of your docs, have limited authority, usually based on amount of payment. In some cases more that one agent must sign a payment order for it to be valid.</div><div><br></div><div>Secondary authorizations are often used, such as total amounts sent by a different channel.</div><div><br></div><div>So the identity of the agent (user) is required for the FI to make a determination, among many other criteria out side of the payment path.</div><div><br></div><div>AFAICT there is no real proposal for a payment object at this time, nor is there any real proposal for the path that a payment object might take. These need to be determined before you get into names of fields.</div><div>..tom</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 23, 2017 at 9:16 AM, Dave Tonge via Openid-specs-fapi <span dir="ltr"><<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default"><div class="gmail_default"><font face="trebuchet ms, sans-serif">Dear FAPI WG Members</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">When it comes to payments, standard OAuth scopes are too coarse-grained to </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">be the sole communication of the "access" to be authorised. The most common scenario</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">for payments via a FAPI API is likely to be one-off payments of a specific amount</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">to a specific payee (and from a specific account at a specific time).</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">If the FAPI spec doesn't address the communication of this data, there are likely</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">to be multiple incompatible implementions.</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">Proposals that I've come accross include having a "staging" endpoint where the </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">client registers "intent" to perform an action by sending a payload with the </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">specific payment details and receives a "ticket id". This ticket id is then </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">included along with high level scopes in an authorization code flow. The </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">ticket id could be included in the claims parameter: </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="http://openid.net/specs/openid-connect-core-1_0.html#ClaimsParameter" target="_blank">http://openid.net/specs/<wbr>openid-connect-core-1_0.html#<wbr>ClaimsParameter</a> </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">or could be part of the request object:</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="http://openid.net/specs/openid-connect-core-1_0.html#JWTRequests" target="_blank">http://openid.net/specs/<wbr>openid-connect-core-1_0.html#<wbr>JWTRequests</a></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">While it could be preferable to avoid having a separate staging endpoint - and </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">put any extra data in a signed request object, the reality is that the request </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">could be too large. While this could be solved by passing in a "request_uri" </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">that points at a request object,  this has issues as many banks currently have </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">strict restrictions on outbound network access. Also it seems that the </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">"request_uri" option would work best when the parameters in the request object </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">are fairly static.</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">Wh</font><span style="font-family:"trebuchet ms",sans-serif">at do FAPI members think about this problem?</span></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">Are there existing standards that we could refer, for example it would seem </font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">that the UMA spec would help here?</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="https://docs.kantarainitiative.org/uma/rec-uma-core.html" target="_blank">https://docs.<wbr>kantarainitiative.org/uma/rec-<wbr>uma-core.html</a></font></div></div><div><br></div><div><br></div><div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">​Thanks</div><span class="HOEnZb"><font color="#888888"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dave​</div><br></font></span></div><span class="HOEnZb"><font color="#888888"><br clear="all"><div><br></div>-- <br><div class="m_4923124169762552694gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:"open sans";font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:arial,helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px"><a style="color:rgb(131,94,165);text-decoration:none" href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><img width="200" height="50" title="Moneyhub Enterprise" style="border:none;padding:0px;border-radius:2px;margin:7px" alt="Moneyhub Enterprise" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png"></a></div><div style="padding:8px 0px"><span style="color:rgb(0,164,183);font-size:11px;background-color:transparent">10 Temple Back, Bristol, BS1 6FL</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold">t: </span><span style="font-size:11px;line-height:15.925px"><a href="tel:+44%20117%20280%205120" target="_blank" value="+441172805120">+44 (0)117 280 5120</a></span><br></div><div style="color:rgb(97,97,97);font-size:14px;font-weight:normal;font-family:lato,"open sans",arial,sans-serif"><font color="#00a4b7"><span style="font-size:11px;line-height:15.925px"><br></span></font><div style="color:rgb(51,51,51);line-height:1.4"><span style="font-size:0.75em">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold">561538</span><span style="font-size:0.75em;background-color:transparent">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent">06909772</span><span style="font-size:0.75em;background-color:transparent"> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent"><font size="1">©</font></span><span style="font-size:0.75em;background-color:transparent"> . </span><span style="background-color:transparent;font-size:0.75em">Momentum Financial Technology Limited 2016. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div></div></div></div></div>
</font></span></div>
<br>______________________________<wbr>_________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net">Openid-specs-fapi@lists.<wbr>openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank" rel="noreferrer">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">..tom</div>
</div>