API REST IngressoDigitale
5 endpoint, JSON puro, JWT firmati. Specifica OpenAPI 3.1 disponibile. Per chi vuole il controllo totale o lavora con stack non coperti da SDK ufficiale.
Endpoint principali
| Endpoint | Metodo | Scopo |
|---|---|---|
/v1/auth/start | POST | Inizia un flusso autenticazione, ritorna URL di redirect verso SPID/CIE |
/v1/auth/verify | POST | Verifica JWT di callback e ritorna attributi utente |
/v1/auth/logout | POST | Avvia il Single Logout SLO sull\'IdP che ha autenticato |
/v1/sessions/{id} | GET | Stato sessione SAML lato Service Provider |
/v1/metadata | GET | Scarica metadata XML firmato del tuo SP |
Esempio: avvio autenticazione
POST /v1/auth/start
Host: api.ingressodigitale.com
Authorization: Bearer ID_SK_xxxxxxxxxxxx
Content-Type: application/json
X-ID-Tenant: sp-mio-ordine
{
"level": "L2",
"attributes": ["fiscalNumber","name","familyName","email"],
"returnTo": "https://miosito.it/spid/callback",
"state": "random-csrf-token-12345"
}
// Risposta:
{
"redirect_url": "https://identita.ingressodigitale.com/auth/start?req=eyJhbGciOi...",
"session_id": "sess_abc123",
"expires_at": "2026-05-21T10:30:00Z"
}
Sicurezza dell\'API
- Bearer token con rotazione gestita da pannello (revoca immediata)
- HMAC integrity opzionale (X-ID-Signature header) per chi vuole layer extra
- Rate limit per tenant: 100 req/min default, 1000 req/min su tier Enterprise
- IP allow-list configurabile
- JWT con RS256 firmato, chiavi pubbliche su JWKS endpoint
- Idempotency keys su POST per gestire retry sicuri
OpenAPI 3.1 e collezione Postman
La specifica OpenAPI 3.1 completa è disponibile per clienti registrati. Per chi vuole solo "vedere come funziona" pubblichiamo una collezione Postman demo con tenant di test e dati simulati.
Vuoi le credenziali API sandbox?
Le forniamo in 5 minuti per i progetti seri. Niente impegno.