嗨,我正在使用yodlee API从客户的银行帐户中抓取数据。为此,Yodlee需要客户网上银行凭证。我看到的例子请求用户的凭据,通过您自己的服务器将它们传递给 Yodlee。理想情况下,我希望用户使用 Yodlee 进行身份验证,并且永远不要让自己访问他们的凭据。这就是我的想法:
1)我的服务器使用cobrandLogin和cobrandPassword与yodlee创建新的联合品牌会话
2) cobSessionToken被发送到用户浏览器
3)用户登录,将他们的IB用户名和密码以及cobSessionToken传递给yodlee。
此设置安全吗?向客户公开CobSessionToken是否有任何风险?
此设置非常安全。但是,我们建议您不要向用户公开 cobsession 令牌,而是让用户在后端使用您的联合品牌上下文并生成其用户上下文。
希望这有帮助。
问候
克里西克