API REST IngressoDigitale

5 endpoint, JSON puro, JWT firmati. Specifica OpenAPI 3.1 disponibile. Per chi vuole il controllo totale o lavora con stack non coperti da SDK ufficiale.

Endpoint principali

EndpointMetodoScopo
/v1/auth/startPOSTInizia un flusso autenticazione, ritorna URL di redirect verso SPID/CIE
/v1/auth/verifyPOSTVerifica JWT di callback e ritorna attributi utente
/v1/auth/logoutPOSTAvvia il Single Logout SLO sull\'IdP che ha autenticato
/v1/sessions/{id}GETStato sessione SAML lato Service Provider
/v1/metadataGETScarica metadata XML firmato del tuo SP

Esempio: avvio autenticazione

POST /v1/auth/start
Host: api.ingressodigitale.com
Authorization: Bearer ID_SK_xxxxxxxxxxxx
Content-Type: application/json
X-ID-Tenant: sp-mio-ordine

{
  "level": "L2",
  "attributes": ["fiscalNumber","name","familyName","email"],
  "returnTo": "https://miosito.it/spid/callback",
  "state": "random-csrf-token-12345"
}

// Risposta:
{
  "redirect_url": "https://identita.ingressodigitale.com/auth/start?req=eyJhbGciOi...",
  "session_id": "sess_abc123",
  "expires_at": "2026-05-21T10:30:00Z"
}

Sicurezza dell\'API

  • Bearer token con rotazione gestita da pannello (revoca immediata)
  • HMAC integrity opzionale (X-ID-Signature header) per chi vuole layer extra
  • Rate limit per tenant: 100 req/min default, 1000 req/min su tier Enterprise
  • IP allow-list configurabile
  • JWT con RS256 firmato, chiavi pubbliche su JWKS endpoint
  • Idempotency keys su POST per gestire retry sicuri

OpenAPI 3.1 e collezione Postman

La specifica OpenAPI 3.1 completa è disponibile per clienti registrati. Per chi vuole solo "vedere come funziona" pubblichiamo una collezione Postman demo con tenant di test e dati simulati.

Vuoi le credenziali API sandbox?

Le forniamo in 5 minuti per i progetti seri. Niente impegno.

IngressoDigitale fa parte dell'ecosistema Ordix, suite completa di gestionali per enti pubblici e ordini professionali. Scopri Ordix