В ЕСИА client_secret – это подпись запроса в формате PKCS#7 detached signature от значений нескольких параметров запроса (scope, timestamp, client_id, state).
Извините, пропустил вопрос.
Главная проблема — это то, что client_secret в понимании rfc6749 — это просто строка, тогда как при взаимодействии с ЕСИА client_secret — это подпись запроса. И здесь возникает целый пласт работы с ключами электронной подписи, подписанием каждого запроса и пр.
Честно говоря, это единственный важный пункт, который стоило добавить к ссылке из статьи (абзац «Если сравнивать 2 подхода, то по факту разницы между ними большой нет...»). У SAML действительно больше недостатков, и они там прописаны.
Хотя еще один плюс, помимо кейса с организациями, могу предложить: подключение по SAML соответствует стандарту. Это не просто слова. Здесь два преимущества:
1) Можно использовать готовые модули — SimpleSamlPHP, OIOSAML, что упрощает разработку. С OAuth такой фокус не пройдет, т.к. Минкомсвязи достаточно сильно исковеркало протокол. Когда мы оценивали разработку, то у нас получилось по цене сопоставимо с продуктом упомянутых ребят, подключающих к ЕСИА.
2) После интеграции по SAML сайт можно будет подключить в будущем не к ЕСИА, а к другому IdentityProvider почти без доработок. Грубо говоря, сейчас вы подключили сайт к ЕСИА, а завтра вы решили внедрить единую систему входа для всех своих порталов. Большинство таких SSO-систем поддерживает SAML.
Если еще что-то вспомню, напишу. И так многовато для понедельника :)
Мы имели небольшой опыт работы и с SAML, и с OAuth в ЕСИА. И у SAML есть большое преимущество — можно очень просто получить ту организацию, от имени которой зашел пользователь. Ты получаешь эту организацию прямо среди SAML-утверждений.
В OAuth это сделать гораздо сложнее. Нужно получить перечень всех организаций пользователя, у него спросить, от имени какой организации он хочет работать, а далее уже получить данные об этой организации. Иными словами, для самой системы здесь возникает доработка, которой не было бы в случае подключения по SAML,
Так что если вы подключаете гос. организацию и вам нужно получить организацию пользователя, то подключайтесь по SAML, пока не поздно :)
И спасибо большое, что не поленились написать в Минкомсвязи. Очень неприятно, когда продавец продукта тебе врет. Да и бизнес у него не очень идет — пропала ссылка, что они сидят в Ростове, повесили московский номер (мобильный?)… Сейчас продадут тебе «модуль», а завтра нужно будет что-то подкрутить — где найдешь эти Рога и Копыта?
Главная проблема — это то, что client_secret в понимании rfc6749 — это просто строка, тогда как при взаимодействии с ЕСИА client_secret — это подпись запроса. И здесь возникает целый пласт работы с ключами электронной подписи, подписанием каждого запроса и пр.
Хотя еще один плюс, помимо кейса с организациями, могу предложить: подключение по SAML соответствует стандарту. Это не просто слова. Здесь два преимущества:
1) Можно использовать готовые модули — SimpleSamlPHP, OIOSAML, что упрощает разработку. С OAuth такой фокус не пройдет, т.к. Минкомсвязи достаточно сильно исковеркало протокол. Когда мы оценивали разработку, то у нас получилось по цене сопоставимо с продуктом упомянутых ребят, подключающих к ЕСИА.
2) После интеграции по SAML сайт можно будет подключить в будущем не к ЕСИА, а к другому IdentityProvider почти без доработок. Грубо говоря, сейчас вы подключили сайт к ЕСИА, а завтра вы решили внедрить единую систему входа для всех своих порталов. Большинство таких SSO-систем поддерживает SAML.
Если еще что-то вспомню, напишу. И так многовато для понедельника :)
В OAuth это сделать гораздо сложнее. Нужно получить перечень всех организаций пользователя, у него спросить, от имени какой организации он хочет работать, а далее уже получить данные об этой организации. Иными словами, для самой системы здесь возникает доработка, которой не было бы в случае подключения по SAML,
Так что если вы подключаете гос. организацию и вам нужно получить организацию пользователя, то подключайтесь по SAML, пока не поздно :)
И спасибо большое, что не поленились написать в Минкомсвязи. Очень неприятно, когда продавец продукта тебе врет. Да и бизнес у него не очень идет — пропала ссылка, что они сидят в Ростове, повесили московский номер (мобильный?)… Сейчас продадут тебе «модуль», а завтра нужно будет что-то подкрутить — где найдешь эти Рога и Копыта?