A valle del processo di autenticazione, quindi dopo che è stato identificato l'utente che invocato una API, GovPay valuta i criteri di autorizzazione per stabilire quali operazioni sono consentite. La tabella che segue descrive le poliiche generali di autorizzazione che vengono applicate.
Una volta determinate le modalità di autenticazione da adottare, e preso visione del partizionamento dei criteri di autorizzazione poc'anzi descritti, per consentire l'accesso ad un applicativo per invocare una determinata API è necessario procedere alla configurazione sul cruscotto di gestione. I passi seguenti descrivono un esempio nel caso delle API di Pagamento:
- Censire una nuova applicazione (vedi
govpay_configurazione_applicazioni) assegnando il principal adeguato alla modalità di autenticazione (come il subject del certificato nel caso ssl o la username nel caso basic). - Autorizzare l'applicazione alle API Pagamento per gli Enti e i Tipi Pendenza desiderati.
- Per un immediato riscontro della configurazione effettuata procedere con il reset della cache (Manutenzione > Resetta la cache).
GovPay integra alcune protezioni per le API di pagamento esposte ai cittadini per mitigarne l'uso improprio. Abilitando la relativa funzione nella pagina delle impostazioni, si attivano le seguenti funzioni:
- google reCAPTCHA: le operazioni POST /pagamenti e GET /avvisi vengono autorizzate se superati i controlli previste dal reCAPTCHA v2 o v3
- hardening delle url: per la GET /avvisi, in alternativa al reCAPTCHA, è possibile passare il parametro UUID in query string, utile per la predisposizione di link diretti alle pagine di pagamento.