FAPI-SIG - Keycloak 的社区

2022 年 7 月 1 日作者：Norimatsu Takashi

这篇文章已超过一年。博客中的内容可能已过时。

大家好，我是 [Takashi Norimatsu](https://github.com/tnorimat)，一位 [Keycloak 维护者](https://github.com/keycloak/keycloak/blob/main/MAINTAINERS.md)。在这篇文章中，我想向大家介绍 [FAPI-SIG](https://github.com/keycloak/kc-sig-fapi)，Keycloak 的一个社区。我们欢迎所有人加入 FAPI-SIG。

什么是 FAPI-SIG?

[金融级 API 特别兴趣小组 (FAPI-SIG)](https://github.com/keycloak/kc-sig-fapi) 是 Keycloak 的一个社区，其目标是支持 Keycloak 中名为 [金融级 API (FAPI) 安全配置文件](https://openid.net/wg/fapi/) 的安全功能。FAPI-SIG 成立于 2020 年 8 月。

FAPI 安全配置文件是使用 OAuth 2.0 进行安全 API 访问的开放安全规范。它们由 [OpenID 基金会 (OID-F)](https://openid.net/) 标准化，该基金会是数字身份的标准化组织。例如，它标准化了 [OpenID Connect](https://openid.net/specs/openid-connect-core-1_0.html)。

FAPI 安全配置文件用于访问需要高安全级别的 API。顾名思义（金融），它们最初是为了安全地访问提供金融服务的 API 而设计（例如，检索用户银行账户的余额，发起支付）。然而，正如其名称所暗示的那样（金融级），它们也可以用于其他需要相同安全级别的 API 类型（例如，在医疗保健行业中，检索用户的医疗记录）。

通过支持 FAPI 安全配置文件，Keycloak 可以应用于各种需要高安全级别 API 访问的用例（例如，开放银行）。

FAPI-SIG 不仅旨在支持 Keycloak 的 FAPI 安全配置文件，还通过使用 OID-F 正式提供的 [FAPI 安全配置文件一致性套件](https://openid.net/certification/about-conformance-suite/) 来确认 Keycloak 符合 FAPI 安全配置文件。

FAPI-SIG 已创建 [用于自动运行 FAPI 安全一致性测试的环境](https://github.com/keycloak/kc-sig-fapi#passed-conformance-tests-per-keycloak-version)。每当发布新版本的 Keycloak 时，[FAPI-SIG](https://github.com/keycloak/kc-sig-fapi#passed-conformance-tests-per-keycloak-version) 会使用该环境检查它是否仍然符合 FAPI 安全配置文件。因此，FAPI-SIG 有助于保持 Keycloak 的每个版本都符合 FAPI 安全配置文件。

FAPI-SIG 开始着手支持 OID-F 定义的 FAPI 安全配置文件以外的安全标准。例如，FAPI-SIG 已创建用于自动运行 OpenID Connect 1.0 和 OpenID Connect for Logout Profile 的一致性测试的环境，这有助于获得 OpenID Connect 1.0 和 OpenID Connect for Logout Profile 的认证。

如 [博客文章](http://keycloak.java.net.cn/2022/05/oidc-certifications.html) 所述，Keycloak 已获得多项认证：FAPI 1.0 Advanced、FAPI-CIBA、澳大利亚 CDR、巴西开放银行 FAPI 1.0、OpenID Connect 和 OpenID Connect for Logout Profiles。FAPI-SIG 为这些成就做出了贡献。

FAPI-SIG 是一个开放的社区。FAPI-SIG 的所有活动都是基于自愿的。FAPI-SIG 活动的所有输出都公开在 FAPI-SIG 的 github 存储库中。例如，用于自动运行 FAPI 安全一致性测试的环境位于许可证为 Apache License 2.0 的存储库中，因此每个人都可以使用该环境。

FAPI-SIG 的活动是如何进行的?

FAPI-SIG 每月举行网络会议。在会议上，我们汇报正在进行的活动的进展情况，提出和讨论我们要进行的活动。会议记录公开在 [FAPI-SIG 的 github 存储库](https://github.com/keycloak/kc-sig-fapi/tree/main/FAPI-SIG/meetings) 中。

FAPI-SIG 的活动不仅仅是编写代码和发送拉取请求，还包括审查其他贡献者的拉取请求，提出和讨论工作项目等等。

不仅 FAPI-SIG 成员，其他成员也可以通过以下方式互相沟通。

邮件： [Google Group keycloak 开发者邮件列表](https://groups.google.com/forum/#!topic/keycloak-dev/Ck_1i5LHFrE) 会议：定期举行网络会议

FAPI-SIG 取得了哪些成就?

FAPI-SIG 主要贡献了以下规范的实现。

OAuth2/OIDC 相关规范
- OpenID Connect 客户端发起后端通道认证 (CIBA)
- RFC 9126 OAuth 2.0 推送授权请求 (PAR)
FAPI 安全配置文件
基于 FAPI 安全配置文件的开放银行用例规范
- 澳大利亚消费者数据权利 (CDR)

FAPI-SIG 辅助了其他贡献者对以下规范的实现。

FAPI 安全配置文件
- FAPI JWT 安全授权响应模式 for OAuth 2.0 (JARM)
基于 FAPI 安全配置文件的开放银行用例规范
- 巴西开放银行 FAPI 1.0 安全配置文件

FAPI-SIG 已创建 [用于自动运行 FAPI 安全一致性测试的环境](https://github.com/keycloak/kc-sig-fapi#automated-conformance-test-run-environment-by-this-kc-fapi-sig-repository)

FAPI 安全配置文件
- FAPI 1.0 高级安全配置文件
- FAPI 客户端发起后端通道认证配置文件 (FAPI-CIBA)
基于 FAPI 安全配置文件的开放银行用例规范
- 澳大利亚消费者数据权利 (CDR)
- 巴西开放银行 FAPI 1.0 安全配置文件
OpenID 规范
- OpenID Connect 1.0
- OpenID Connect for Logout Profiles

FAPI-SIG 正在进行哪些活动?

FAPI-SIG 正在处理以下工作项目。

FAPI 2.0 基线安全配置文件
FAPI 2.0 OAuth 2.0 授权管理
OAuth 2.0 丰富授权请求 (RAR)
OAuth 2.0 在应用程序层演示占有证明 (DPoP)

我在哪里可以详细了解 FAPI-SIG 的活动?

请参考 [FAPI-SIG 的 github 存储库](https://github.com/keycloak/kc-sig-fapi/) 的首页和会议记录。

我如何参与 FAPI-SIG 的活动?

请随时通过以上所示的沟通渠道与我们联系。