ה-API של Open Finance מאובטח באמצעות access token. כל קריאה ל-API דורשת טוקן תקף ב-header של הבקשה. הטוקן הוא per-user — הוא מונפק עבור userId מסוים ומעניק גישה לנתונים של אותו משתמש בלבד.
קבלת טוקן
שלח בקשת POST ל-token endpoint עם שלושת השדות הבאים:
POST https://api.open-finance.ai/oauth/token
Content-Type: application/json
{
"clientId": "YOUR_CLIENT_ID",
"clientSecret": "YOUR_CLIENT_SECRET",
"userId": "USER_ID"
}
clientIdו-clientSecret— מזהי הארגון שלך, מתוך ה-דשבורד.userId— מזהה ייחודי של המשתמש במערכת שלך.
⚠️ ה-clientSecret סודי — אסור לחשוף אותו בצד הלקוח (frontend) או בקוד פומבי.
חשוב: הטוקן חייב להיות לאותו userId שחיברת את הבנק שלו
הטוקן נותן גישה לנתונים של ה-userId שלשמו הונפק. כדי לשלוף חשבונות, תנועות או חיבורים של משתמש מסוים, עליך ליצור טוקן עם אותו userId שדרכו נוצר החיבור לבנק. טוקן עם userId אחר לא יראה את אותם נתונים.
💡 אם חיברת את הבנק דרך Financy, ה-userId הוא המייל שאיתו נרשמת ל-Financy.
שימוש בטוקן
צרף את הטוקן שהתקבל לכל קריאה ב-header:
Authorization: Bearer YOUR_ACCESS_TOKEN
תוקף
הטוקן הוא JWT מוגבל בזמן ופג אחרי תקופה. כשהוא פג, הפק טוקן חדש באותו אופן.
תיעוד מלא
למבנה הבקשה והתשובה המלא ולפיצ'ר ה-"Try It": docs.open-finance.ai/docs/access-tokens.