Dinis_S 2 ноя 2023 в 11:37

Создание сервиса авторизации через систему ЕСИА

Средний

18 мин

8.9K

Блог компании БФТ-ХолдингПрограммирование*Java*

Кейс

Комментарии 14

Rursi 2 ноя 2023 в 15:58

классная статья, спасибо!

dprotopopov 3 ноя 2023 в 01:27

и взаимодействует с алгоритмами формирования электронной подписи ГОСТ Р 34.10-2012 и криптографического хэширования ГОСТ Р 34.11-2012;

а можно поподробнее - какое приложение-провайдер этой реализации использовалось

например, .net у микрософта нет поддержки российских стандартов от слова совсем - соответственно, есть вариант использования криптопро - они пропатчили corefx для вызова своей аппликухи и выложили на github - но явно встраивать патченый net в бизнес-приложение не резон, но можно вынести в микросервис, заодно там же поднять и аппликуху от криптопро

Dinis_S 3 ноя 2023 в 08:07

в данном случае использовался провайдер vipnet, библиотека ViPNet JCrypto SDK, так же можно легко мигрировать на CryptoPro JCP.

antonvn 4 ноя 2023 в 00:24

А почему не BouncyCastle? Там тоже поддержка ГОСТа давно есть.

И вдогонку, все это хорошо работает, когда сертификаты и ключи в файликах. А если они на токене, и ключ неизвлекаем?

Dinis_S 7 ноя 2023 в 10:03

А почему не BouncyCastle? Там тоже поддержка ГОСТа давно есть.

в организации были лицензии VipNet и CryptoPro, под эти провайдеры был написан сервис.

aleksandy 3 ноя 2023 в 07:22

URLEncoder.encode("client_id", StandardCharsets.UTF_8.toString())

Зачем?

Dinis_S 3 ноя 2023 в 08:09

бывают случаи, когда не всегда корректно парсится URL в виде строки, поэтому тут строки явно кдируются в URL

aleksandy 4 ноя 2023 в 22:42

Ъ по ссылкам не ходят? Документацию не читают?

Hidden text

The alphanumeric characters "a" through "z", "A" through "Z" and "0" through "9" remain the same.

olegchir 3 ноя 2023 в 11:31

Как вам вообще работа с ЕСИА? Нравится? Всё удобно и хорошо, или какие-то части выглядят сложными или неочевидными?

Dinis_S 3 ноя 2023 в 14:20

в целом работать с ЕСИА удобно, очень хорошая документация, открытое понятное API, бывали перебои(1-2 раза в год), но в течение 1-2 часа все исправлют.

olegchir 4 ноя 2023 в 16:54

Представим, что у меня есть какой-то условный "Тиндер для собак", и я хочу прикрутить к нему логинку через ЕСИА. Что мне нужно сделать, чтобы получить такую возможность?

Иначе говоря, для сервиса, который авторизуется через ЕСИА, обязательно ли быть официальной "государственной услугой"? Где-то регистрироваться как провайдер сервиса?

antonvn 5 ноя 2023 в 00:20

На это у Минцифры есть регламент, кого можно подключать, а кого нет. В последнее время шанс того, что вам дадут доступ, очень невелик, даже если вы и гос. контора и оператор ПДн. Тиндер для собак может даже и не пытаться.

evgajukov 3 ноя 2023 в 23:17

Эх, такую бы статью под nodejs

tia_ru 6 ноя 2023 в 12:48

Ценное в этой статье только пример использования VipNet JCrypto. Официальный документ, на который приведена ссылка не содержит ни одной цитаты отмеченной курсивом, т.к. ссылка на "Руководство", а протокол описан в "Методических рекомендациях" (https://digital.gov.ru/ru/documents/6186/).
Примеры приведены для устаревшей версии протокола и они не совсем корректные. Так, поле refresh_token надо передавать только в запросе на обновление маркера доступа с истёкшим сроком действия, т.е. в updateEsiaSession. Нет обязательной проверки равенства значения state в ответе значению в запросе. Нет проверок валидности jwt-токена.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий