garex May 22 2018 at 06:11

Интеграция с ЕСИА на базе oauth2-client (PHP)

3 min

24K

Open source*PHP*

+21

Comments 15

eduard93 May 22 2018 at 11:32

При использовании криптографических алгоритмов GOST первоначальный редирект на ЕСИА получается длиной примерно 5000+ символов. Вы не пытались как-то уменьшить это значение? Некоторым браузерам не нравятся такие длинные ссылки.

garex May 22 2018 at 14:43

Там не пять тыщ, а где-то две. Можно добавить параметр типа "-noattr", сколько-то сэкономит. Пробовал "-nocert", но удалённая система хочет сертификаты в подписи. Поэтому только noattr.

eduard93 May 22 2018 at 15:18

-noattr я использую — без него 5600+ символов получается. Как я понимаю OpenSSL у вас вызывается с вот этими аргументами?
Две тысячи символов у меня только с использованием RSA.

Добавление -nocert уменьшает редирект на 3461 символ, но авторизация тогда не проходит.

garex May 23 2018 at 01:25

Можно попробовать поиграться с самим сертификатом, попытавшись сделать его обрезанную версию. Напр. вот такой тулзой: https://github.com/pornin/DDer

Однако спецификация сертификатов нам говорит, что практически всё в нём required.

Гигантский размер скорее всего связан с utf в subject'е, который никак не поменяешь т.к. отпечаток сертификата/ключа на него завязан.

garex May 23 2018 at 12:10

Добавил подписывателям -noattr в релизе 1.1.2.

garex May 23 2018 at 02:09

Ах да! Никто не требует, чтобы редирект был именно GET'овым.
POST'ом тоже всё прекрасно работает.

eduard93 May 23 2018 at 10:14

А чем POST тут поможет?

garex May 23 2018 at 10:16

URL будет https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac

А вся жирнота в параметрах.

eduard93 May 23 2018 at 10:33

Действительно, спасибо.

coolmiha May 23 2018 at 05:19

Расскажите пожалуйста подробнее о параметрах remoteCertificatePath и remoteUrl. remoteUrl по умолчанию какой?

garex May 23 2018 at 07:06

URL — это адрес удалённой системы. По-умолчанию боевой. Чтобы использовать тестовый, подставляете 'https://esia-portal1.test.gosuslugi.ru'.

Сертификат — это публичный сертификат с ключом для проверки подписи токена. По-умолчанию боевой (идёт в комплекте). Я не понимаю, почему минсвязь его в PEM-виде до сих не добавила в методичку. Надеюсь осознают и добавят.

На данный момент по факту только RSA в подписи токена используется, хотя в методичке пишут, что и GOST возможен.

https://github.com/ekapusta/oauth2-esia/blob/5d141d943ac7fef8aac71ca432884ac9fa013768/src/Provider/EsiaProvider.php#L28:L30

protected $remoteUrl = 'https://esia.gosuslugi.ru';
protected $remoteCertificatePath = self::RESOURCES.'esia.prod.cer';

coolmiha May 23 2018 at 07:56

А есть ли разница в сертификате/ключе, сгенеренным для SAML и для OAuth? Через SAML(simplesamlphp) все отлично работает, но закрытый ключ почему-то не подходит для oauth2-esia с руганью openssl_pkey_get_private. Или это openssl ерундит?
За ключ в комплекте отдельное спасибо, не нашел упоминаний в Методических рекомендациях, хотя сама документация написана хорошо.

garex May 23 2018 at 09:00

На сколько я знаю — да. Это два разных мира, хоть и пересекаются местами. И вообще самл депрекейтить собираются — в методичке тоже это написано.

Вот здесь для самла серт лежит (это из методички): https://esia-portal1.test.gosuslugi.ru/idp/shibboleth

Для прода: https://esia.gosuslugi.ru/idp/shibboleth

palmich Feb 10 2020 at 13:08

Если вы используете ключи GOST и скомпилировали PHP с шифрами ГОСТ

подскажите, а как PHP скомпилировать с шифрами ГОСТ?

garex Feb 10 2020 at 14:15

Также, как openssl с гост, только для php.