Настраиваем авторизацию сайта через ЕСИА.
Проблема: После перехода по сформированной ссылке с подписью переходим на страницу авторизации, вводим данные, получаем ошибку «Ошибка авторизации», в адресе страницы есть подробности
error_description=ESIA-007005%3A+The+client+is+not+authorized+to+request+an+access+token+using+this+method
Имеется машина с докером.
Установлен докер контейнер https://hub.docker.com/r/required/cryptopro
Установлен корневой сертификат, сертификат клиента, стоит пробный ключ для КриптоПро.
Цепочки сертификатов проверены методом копирования (https://www.altlinux.org/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE#%D0%9F%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0_%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D0%B8_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2)
cryptcp -copycert -thumbprint "$thumbprint" -df tt.cer
На выходе
Certificate chains are checked
Для ЕСИА требуется подпись в формате PKCS#7 detached signature в кодировке UTF8, затем кодированная в url safe base64
Погуглив, нашел такой вариант:
csptest -sfsign -sign -detached -base64 -add -alg "GOST12_256" -in message -out sig
Файл подписывается, проверяю
csptest -sfsign -verify -detached -base64 -add -alg "GOST12_256" -in message -signature sig
На выходе:
Detached Signature was verified OK
Вопрос — в чем может быть проблема? Куда копать?
UPD: Есть сервис, который умеет подписывать этим же сертификатом, написан на Java и с его подписью ЕСИА авторизует. Сравнив нашу ссылку и ссылку сервиса — нашли отличия только в строке client_secret, то есть в подписи.
Получение данных об организациях возможно только при использовании offline-режима получения данных о пользователе. Этот процесс включает следующие шаги:
1. Проведение аутентификации пользователя с помощью offline-режима, по результатам которого у вызывающей системы будет следующая информация:
- идентификатор (oid) организации, по которой необходимо получить детальную информацию. Для получения oid можно воспользоваться блоком о ролях пользователя (roles), который доступен при наличии разрешения «Просмотр списка организаций пользователя» (usr_org);
- актуальное значение ключа доступа «scsToken».
2. Вызов специального сервиса ESIA-Bridge, позволяющего получить данные об организации. Для этого необходимо выполнить HTTP-запрос методом POST на адрес точки получения данных об организации (/blitz/bridge/organization). Особенности запроса:
- в теле (body) запроса необходимо указать параметры “token” (значение актуального ключа доступа), “oid” (идентификатор организации) и “redirect_url” (адрес обработчика успешной аутентификации на стороне вызывающей системы);
- в заголовке (http header) необходимо указать параметр “Content-Type” со значением “application/x-www-form-urlencoded”.
Пример запроса на получение данных об организации:
POST https://esia.client.testcase.ru/blitz/bridge/organization Content-Type: application/x-www-form-urlencoded token=MIrS8LUZNHHh-8gBjzoBbHaI5qvsCIF3I3qDjh7mOMif5L90z2SAYYO9UN2talPmqiavxzjfE5CpAhV4S2t_kWyV6UHqskUIIT1B-EFFJmLAYEYnUbuD60ehbydOJVYsGmrjvaLzSwY6oqI3GKxgZaROq-9qwafgw5bgSdjCI18NU_QJHr2oRzumxwTEbLO5QKeQNekSVZeM_71q8t7l8Lh8PonOFl9Kiz2__00HT73QKIi_alE6qdzytPeS0tv68bcRdiUU2w6pzW6oIyQ6EJgpdn6zj3ff2dPiJ9pJE0oOVqcgzQHdq7_1UezpFw9qoQPEJSpAGrIH5ewhG8__k8mtz_EASApmjK20stkBdqeyFS9s21unHDmlvd13yh7Fk0ijm0vWl_iNAeCai-H_tozj7YH65L8eXqiq5sdkl2HmQHiEPOwWsmS1JivjgdqGHiaqVEiu5oXT_fEm6hrFj7nsxeedDVUGJ14FBYGgGU_Sgpf5ql2rHrJyz9hVr3MR|MTQxODMxMjc2Mg|U0gxQVMxMjhDQkM|6dkboBYuF4Y7ZtlHztSkjg|4n9D_efCPLv3fFl_JLTz5YgENWc&oid=1000323157&redirect_url=http://localhost:9000/ofCb
Возможные варианты ответа ESIA-Bridge на такой запрос:
- если ключ доступа не позволяет получить данные указанной организации, то в ответе содержится ссылка (link) с запросом для получения корректного ключа доступа. Пример ответа:
{ “redirect” : { “link” : “/blitz/bridge/entrance?redirect_url=http://localhost:9000/ofCb&oids=1000323157&mode=offline&state=dfa6e47e-576b-460e-9476-ce9597415188“, “state” : “dfa6e47e-576b-460e-9476-ce9597415188" } }
Все, что требуется системе, – направить браузер пользователя по ссылке из ответа, указав корректный hostname ESIA-Bridge. Переход по этой ссылке инициирует в ЕСИА получение разрешения на доступ к данной организации. После того, как пользователь даст разрешение, ESIA-Bridge вернет пользователя по адресу, указанному в redirect_url и поставит новую сессионную cookie с новым ключом доступа tokenSCS. Получив обновленный ключ доступа, система должна повторно вызвать сервис получения данных об организации.
- если ключ доступа позволяет получить данные указанной организации, то в ответе будет получен json со следующими данными:
- обновленный ключ доступа scsToken, при этом старый ключ перестает действовать;
- сведения об организации согласно спецификациям ЕСИА.
Пример ответа, содержащего в себе данные организации, ее сотрудников и филиалов:
{ "orgResponse": { "scsToken": "esMNcjW0qPQ51zcTMiI8w881PiaMUfHBdNGjLo0-V2Tu8U8NGbP86tVxDXeoPQIOyjiQwz2K4ml0ymIqajcvmxoEpOc7IVs-sux0QKS4GKWxAUFBhcB-odAZJVTS_Sl0oZB8Xn5rKJh2p3zS92v-JbMVWzwL0OS6LB58If0vLIu1gdgwqKq1ee7B7vSsc8te|MTUxMzk4MzQ5MA|U0gxQVMxMjhDQkM|ls9NJJklcIDvAtQr_DgZ0w|_7qL6n1KC_M5da77ohg03FRAxwQ", "organization": { "stateFacts": [ "Identifiable" ], "eTag": "8DF580E06129CA1190B283E6764D68ADD88CBDB9", "oid": 1000323157, "shortName": "ООО "РЕАК СОФТ"", "fullName": "ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "РЕАК СОФТ"", "type": "AGENCY", "ogrn": "1147746651733", "inn": "7715434658", "leg": "12200", "kpp": "771501001", "agencyTerRange": "00", "agencyType": "10.FED", "oktmo": "45359000", "contacts": { "stateFacts": [ "hasSize" ], "size": 3, "eTag": "711FD22A0ADEA3FB05BEB780FF6E2B25F9BF39A1", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "326468E0BC693CE48B87646B758EE54FB0737010", "id": 14283140, "type": "OFX", "vrfStu": "NOT_VERIFIED", "value": "+7(342)2875843" }, { "stateFacts": [ "Identifiable" ], "eTag": "3288F9165AD8A0C2D956DB8CA9B3799BD7CECE18", "id": 14283139, "type": "OPH", "vrfStu": "NOT_VERIFIED", "value": "+7(342)2409435*984398" }, { "stateFacts": [ "Identifiable" ], "eTag": "BA3D328687D1538B7AFF0CC153E704738BC78253", "id": 14240474, "type": "OEM", "vrfStu": "NOT_VERIFIED", "value": "mvanin@reaxoft.ru" } ] }, "addresses": { "stateFacts": [ "hasSize" ], "size": 2, "eTag": "7B82EB88BCA0425E2BC3B6914AFC6F9D0702DF3B", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "5E2BA4DB9268FED5079B2F5B5463E9FFE3CC4E50", "id": 27443, "type": "OPS", "region": "Пермский", "city": "Пермь", "addressStr": "Пермский край, Пермь город, Комсомольский проспект", "countryId": "RUS", "zipCode": "614000", "street": "Комсомольский", "house": "31В", "flat": "37" }, { "stateFacts": [ "Identifiable" ], "eTag": "8CA439D7A477D899C0E67E513B2B72C4B4F962E3", "id": 16378, "type": "OLG", "region": "г МОСКВА", "addressStr": "г МОСКВА,ул РИМСКОГО ", "countryId": "RUS", "zipCode": "127566", "street": "ул РИМСКОГО ", "house": "95", "flat": "36" } ] }, "employees": { "stateFacts": [ "LastPage", "FirstPage", "Paginated" ], "pageSize": 100, "pageIndex": 1, "elements": [ { "stateFacts": [ "EntityRoot" ], "eTag": "E7ECC603BCEC866C6ACD0738A077CA39BADA9EFA", "prnOid": 1000299331, "orgOid": 1000323157, "position": "Руководитель", "chief": true, "person": { "stateFacts": [ "EntityRoot" ], "eTag": "5B64DACFE84502F3B4A73F66A3F4D07F23360ACB", "firstName": "Михаил", "lastName": "Юрьев", "middleName": "Владимирович", "birthDate": "13.11.1981", "gender": "M", "citizenship": "RUS", "snils": "123-456-789 58", "inn": "123456789012", "updatedOn": 1492174836, "status": "REGISTERED", "verifying": false, "rIdDoc": 3303 }, "blocked": false }, { "stateFacts": [ "EntityRoot" ], "eTag": "D90F86B8FAE7DB8567D3679D97309AF821D5025D", "prnOid": 1000323269, "orgOid": 1000323157, "chief": false, "person": { "stateFacts": [ "EntityRoot" ], "eTag": "CBB725A26583BBD55980751FAE85FAD2BC828833", "firstName": "Петр", "lastName": "Петров", "middleName": "Петрович", "birthDate": "11.11.1981", "birthPlace": "Москва", "gender": "M", "citizenship": "RUS", "snils": "000-333-444 39", "updatedOn": 1513856314, "status": "REGISTERED", "verifying": false }, "blocked": false }, { "stateFacts": [ "EntityRoot" ], "eTag": "48C5A569574766A15287584DC057897BF20B9BF5", "prnOid": 1000348301, "orgOid": 1000323157, "chief": false, "person": { "stateFacts": [ "EntityRoot" ], "eTag": "3A4A8EA83413C3076B34485561BB6FDE518C58D8", "firstName": "Семен", "lastName": "Иванов", "middleName": "Петрович", "birthDate": "14.03.1996", "birthPlace": "Москва", "gender": "M", "trusted": true, "citizenship": "RUS", "snils": "000-555-444 39", "inn": "520791835020", "updatedOn": 1513937119, "status": "REGISTERED", "verifying": false, "rIdDoc": 38957 }, "blocked": false } ] }, "branches": { "stateFacts": [ "LastPage", "FirstPage", "Paginated" ], "pageSize": 100, "pageIndex": 1, "eTag": "B854C2B28B54083C063C9319950B148A1D87EDCB", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "BDD1049E273023D50516686F7FF4CD14CC938150", "brhOid": 1000355069, "name": "Московский", "kpp": "435354354", "leg": "30002", "contacts": { "stateFacts": [ "hasSize" ], "size": 3, "eTag": "BB7C4789C938FBF59F60744EC31215239D20B94F", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "5649E98457FAD7C4B38B091EABAAE497D7C24666", "id": 14283146, "type": "OEM", "vrfStu": "NOT_VERIFIED", "value": "test@example.com" }, { "stateFacts": [ "Identifiable" ], "eTag": "E3B691F0DC97A07F271F337EF6000F671299E1C6", "id": 14283149, "type": "OPH", "vrfStu": "NOT_VERIFIED", "value": "+7(495)8736847*684764" }, { "stateFacts": [ "Identifiable" ], "eTag": "D3A1E4715F456DD2D54544E387B6159DB6E486D4", "id": 14283150, "type": "OFX", "vrfStu": "NOT_VERIFIED", "value": "+7(499)9990930" } ] }, "addresses": { "stateFacts": [ "hasSize" ], "size": 1, "eTag": "8051E7E5247D83DEBFA5FFAC9410C81D1E5E1597", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "EC676F9CDB0F1344A8EED5444A8CC0DEB98D994C", "id": 27445, "type": "OPS", "region": "Москва", "addressStr": "Москва город, Московско-Минской Дивизии площадь", "countryId": "RUS", "zipCode": "121096", "street": "Московско-Минской Дивизии", "house": "6", "flat": "67" } ] } }, { "stateFacts": [ "Identifiable" ], "eTag": "9438AF6F3D163DFD6A258078BC3F77D337A44B3E", "brhOid": 1000355068, "name": "Дальневосточный", "kpp": "948745837", "leg": "30001", "contacts": { "stateFacts": [ "hasSize" ], "size": 3, "eTag": "FBBF6052BCF619EF40E2B2D888DC294AB9776BDB", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "C725D7760632612B18CBEDE303ADBA8612340488", "id": 14283143, "type": "OEM", "vrfStu": "NOT_VERIFIED", "value": "none@example.com" }, { "stateFacts": [ "Identifiable" ], "eTag": "8CE333D782D4D75A8600210BBB1E78F73B2EC5F4", "id": 14283145, "type": "OFX", "vrfStu": "NOT_VERIFIED", "value": "+7(34343)90586" }, { "stateFacts": [ "Identifiable" ], "eTag": "69344CDC7A35BD367284CB119ED237D2DBA30590", "id": 14283144, "type": "OPH", "vrfStu": "NOT_VERIFIED", "value": "+7(343)3354654*235642" } ] }, "addresses": { "stateFacts": [ "hasSize" ], "size": 1, "eTag": "3786BD82486EF0DE78B9B4BF4594B00D5C660F3D", "elements": [ { "stateFacts": [ "Identifiable" ], "eTag": "E56F04079933C955AC0C24DC8DD5E1722F912224", "id": 27444, "type": "OPS", "region": "Хабаровский", "addressStr": "Хабаровский край, Николаевский район, Нижнее Пронге поселок, Школьная улица", "area": "Николаевский", "settlement": "Нижнее Пронге", "countryId": "RUS", "zipCode": "682444", "street": "Школьная", "house": "40" } ] } } ] } } } }
После получения ответа рекомендуется сохранить данные обновленного ключа доступа scsToken. Это позволит в будущем обновить данные об организации, ее сотрудниках и филиалах в offline-режиме, т.е. без участия пользователя.
Здравствуйте!
Установил:
КриптоПро CSP 5.0 для Windows
КриптоПро .NET 1.0.7132.0 (NET-x64-rus.msi)
КриптоПро .NET SDK 1.0.7132.0 (NETSDK-x64-rus.msi)
Мне необходимо авторизовать пользователей на сайте через ESIA
Пишу программу которая на вход получает строку типа:
fullname birthdate2020.01.24 08:48:17 +0100MICC01565f8ba7023-fa2b-4365-901b-e6062d4d2933
Мне эту строку нужно подписать чтоб использовать для формирования URL.
В качестве примера взял:
cpdn.cryptopro.ru/default.asp?url=content/cpnet/ht…
Далее из байт я делаю base64 url safe. Получается URL типа: (base64 я обрезал для удобства просмотра)
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac?client_id=MICC01565&client_secret=MIIUjQYJKoZIhvcNAQcCoIIUfjCCFHoCAQExDjAMBggqhQMHAQECAgUAMAsGCSqGSIb3DQEHAaCCEKMwgggEMIIHsaADAgECAhEDTIvMesQM-oDpESJGsDMu_zAKBggqhQMHAQEDAjCCASgxIDAeBgkqhkiG9w0BCQEWEW9vYjUxQG1haWwub3JiLnJ1MRgwFgYFKoUDZAESDTEwNjU2MTIwMzI4OTIxGjAYBggqhQMDgQMBARIMMDA1NjEyMDQ1ODQwMQswCQYDVQQGEwJSVTEzMDEGA1UECAwqNTYg0J7RgNC10L3QsdGD0YDQs9GB0LrQsNGPINC-0LHQu9Cw0YHRgtGMMR0wGwYDVQQHDBTQsy4g0J7RgNC10L3QsdGD0YDQszExMC8GA1UECQwo0YPQuy4g0JzQsNGA0YjQsNC70LAg0JbRg9C60L7QstCwLCDQtC40MjEcMBoGA1UECgwT0JPQkdCj0JcgItCc0JjQkNCmIjEcMBoGA1UEAwwT0JPQkdCj0JcgItCc0JjQkNCmIjAeFw0xOTAzMTQwNjIyNTVaFw0yMDAzMTQwNjMyNTVaMIIBRzEgMB4GCSqGSIb3DQEJARYRb29iNTFAbWFpbC5vcmIucnUxGjAYBggqhQMDgQMBARIMMDA1NjEyMDQ1ODQwMRgwFgYFKoUDZAESDTdA5oHuDmvpS3Vy5mN6g2Xj&redirect_uri=https://pp.io/&scope=fullname+birthdate&response_type=code&state=57b9ae3d-52a1-4f49-8b48-87c5d8784167&access_type=offline×tamp=2020.01.24+08:56:58++0100
При переходе по данной ссылке ESIA мне возвращает:
error_description: ESIA-007005: The client is not authorized to request an access token using this method.
state: 57b9ae3d-52a1-4f49-8b48-87c5d8784167
error: unauthorized_client
Может я взял не тот пример для подписи?
Заранее большое спасибо!
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро .NET
»
ESIA-007005 Подключение к ЕСИА ГОСТ 3410 сертификата (.NET Core web app)
Aifar |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Здравствуйте Нужен client_secret: Пробовал и SignCms: Код:
И чтением из файла: Код:
Первый вопрос: правильно ли так подписывать? Да еще и в логах тестовой технологической среды записи: ALTESTO — идентификатор тестовой информационной системы (мнемоника) Второй вопрос: Но что может означать «aas feature»? Буду благодарен любой помощи Сертификат — усиленный гост 3410 с удостоверяющего центра. Но и с самоподписанным из DotnetCoreSampleProject ошибка не меняется Отредактировано пользователем 11 апреля 2022 г. 17:01:53(UTC) |
|
|
Aifar |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
1. Подписывание правильное Только теперь падает в исключении при отправке запроса маркера доступа на https://esia-portal1.tes…suslugi.ru/aas/oauth2/te Win32Exception: Предоставленный функции токен неправилен Казалось бы просто ошибка проверки удаленного сертификата — сохраняешь с сайта сертификат, добавляешь в доверенные центры сертификации, но нет. Все равно падает. |
|
|
two_oceans |
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Автор: Aifar Казалось бы просто ошибка проверки удаленного сертификата — сохраняешь с сайта сертификат, добавляешь в доверенные центры сертификации, но нет. Все равно падает. Если сертификат сайта не самоподписанный, то ой! В доверенные надо будет добавить не сам сертификат сайта, а сертификат УЦ, выдавшего сертификат сайта. Впрочем и после этого возможны нюансы — например, сертификат на один домен, а отвечает с эти сертификатом сайт на другом домене. |
|
|
Aifar |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Автор: two_oceans Автор: Aifar Казалось бы просто ошибка проверки удаленного сертификата — сохраняешь с сайта сертификат, добавляешь в доверенные центры сертификации, но нет. Все равно падает. Если сертификат сайта не самоподписанный, то ой! В доверенные надо будет добавить не сам сертификат сайта, а сертификат УЦ, выдавшего сертификат сайта. Впрочем и после этого возможны нюансы — например, сертификат на один домен, а отвечает с эти сертификатом сайт на другом домене. Нашел в сертификате ссылку на их УЦ, скачал их сертификат, поставил. Не сильно помогло. Также падает: Код:
Должны ли запросы отправляться с сервера у которого тоже действительный сертификат? У меня сейчас Kestrel с самоподписанным для https стоит Отредактировано пользователем 6 мая 2022 г. 12:43:02(UTC) |
|
|
Aifar |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Сертификаты не помогли. Сделал по примеру из https://stackoverflow.co…could-not-be-established Просто добавил в конструктор Код:
|
|
|
Пользователи, просматривающие эту тему |
Guest |
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро .NET
»
ESIA-007005 Подключение к ЕСИА ГОСТ 3410 сертификата (.NET Core web app)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Настраиваем авторизацию сайта через ЕСИА.
Проблема: После перехода по сформированной ссылке с подписью переходим на страницу авторизации, вводим данные, получаем ошибку «Ошибка авторизации», в адресе страницы есть подробности
error_description=ESIA-007005%3A+The+client+is+not+authorized+to+request+an+access+token+using+this+method
Имеется машина с докером.
Установлен докер контейнер https://hub.docker.com/r/required/cryptopro
Установлен корневой сертификат, сертификат клиента, стоит пробный ключ для КриптоПро.
Цепочки сертификатов проверены методом копирования (https://www.altlinux.org/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE#%D0%9F%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0_%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D0%B8_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2)
cryptcp -copycert -thumbprint "$thumbprint" -df tt.cer
На выходе
Certificate chains are checked
Для ЕСИА требуется подпись в формате PKCS#7 detached signature в кодировке UTF8, затем кодированная в url safe base64
Погуглив, нашел такой вариант:
csptest -sfsign -sign -detached -base64 -add -alg "GOST12_256" -in message -out sig
Файл подписывается, проверяю
csptest -sfsign -verify -detached -base64 -add -alg "GOST12_256" -in message -signature sig
На выходе:
Detached Signature was verified OK
Вопрос — в чем может быть проблема? Куда копать?
UPD: Есть сервис, который умеет подписывать этим же сертификатом, написан на Java и с его подписью ЕСИА авторизует. Сравнив нашу ссылку и ссылку сервиса — нашли отличия только в строке client_secret, то есть в подписи.
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
ЕСИА версия 2.90, код авторизации
foke |
|
Статус: Новичок Группы: Участники
|
Здравствуйте. Изменилось описание формирования параметра client_secret. До версии 2.90: Цитата: <client_secret> – подпись запроса в формате PKCS#7 detached signature в кодировке UTF- Версия 2.90: Цитата: <client_secret> — подпись значений пяти параметров в кодировке UTF-8: В версии <2.90 с «подпись запроса в формате PKCS#7 detached signature» разобрались, работает. В версии 2.90 неясно, что такое «подписать полученную строку с использованием алгоритма подписания data hash с использованием механизмов КриптоПРО CSP»? Использование прежнего java-кода формирования подписи параметра client_secret (с учётом прочих обновлений параметров, описанных в инструкции) приводит к ошибке «ESIA-007005: The client is not authorized to request an access token using this method.», что по моему опыту соответствует некорректно сформированному client_secret. На данный момент сгенерированный url получения кода авторизации выглядит следующим образом: Цитата: https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac Отредактировано пользователем 31 мая 2022 г. 22:15:29(UTC) |
|
|
saaremaa |
|
Статус: Новичок Группы: Участники
|
У вас получилось что-нибудь с получением кода авторизации? Тоже зависли на этом моменте и не знаем куда двигаться. Поддержка Минцифры только пересылает отрывки из методички. Дополнение от 07.07.2022: Цитата: К Вашему запросу SCR#2946679 добавлен комментарий: Добрый день! По Вашему обращению сообщаем, что при формировании client_secret необходимо использовать следующие алгоритмы шифрования: Кто добавил: СКУФ Служебный/ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «РОСТЕЛЕКОМ» после формирования подписи с помощью GOST3411_2012_256withGOST3410_2012_256 получили корректный client_secret Библиотеки на языке Golang: https://github.com/Theo730/gogost Отредактировано пользователем 7 июля 2022 г. 13:01:22(UTC) |
|
|
two_oceans |
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Автор: saaremaa По Вашему обращению сообщаем, что при формировании client_secret необходимо использовать следующие алгоритмы шифрования: Добрый день. Сначала конечно замечание, что не шифрования, а подписания, так как в сообщениях выше процитированы места, где ясно говорится «подпись», «подписать». Что же до указанной ссылки на библиотеку Го, похоже на несертифицированное решение с самостоятельной реализацией криптографических примитивов. Для тестов с тестовыми ключами конечно никто Вам ничего особо не скажет. Используя же несертифицированное решение с гитхаба в продакшене с «боевыми» ключами, Вы принимаете на себя риски возможных штрафов за неправильное обращение со СКЗИ и ключевой информацией. Будьте бдительны, не все работающие решения можно использовать по закону. |
|
|
forumname |
|
Статус: Новичок Группы: Участники
|
Автор: foke подписать полученную строку с использованием алгоритма подписания data hash с использованием механизмов КриптоПРО CSP Я правильно понимаю, что сначала вычисляем hash с помощью алгоритма GOST3411_2012_256, а потом подписываем вычисленное значение алгоритмом GOST3410_2012_256? Или нужно как-то иначе использовать механизмы КриптоПро CSP? |
|
|
navrocky |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Вот рабочий код на Java для формирования client_secret с использованием крипто-провайдера BouncyCastle: Код:
Отредактировано пользователем 19 октября 2022 г. 13:53:54(UTC) |
|
|
1 пользователь поблагодарил navrocky за этот пост. |
JsutUser
оставлено 11.11.2022(UTC) |
EugeneNSK |
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Автор: navrocky Вот рабочий код на Java для формирования client_secret с использованием крипто-провайдера BouncyCastle: Код:
Тоже столкнулся с проблемой формирования client_secret при получении кода доступа (через v2/ac). Для JCP/JCSP использую: Код:
|
|
|
dzibzeev |
|
Статус: Новичок Группы: Участники
|
Коллеги! А у кого-нибудь получилось с использованием cryptcp -signf подписать секрет клиента для второй версии API(v2/ac) ЕСИА? Вот так мы сейчас создаем подпись для ЕСИА(код на go): command := exec.Command(s.cmd, «-signf», С первой версией все прекрасно работает, с v2 не хочет работать. ЕСИА возвращает ошибку ESIA-007053: OAuthErrorEnum.clientSecretWrong |
|
|
MESHOK |
|
Статус: Новичок Группы: Участники
|
Находите имя своего ключа: csptest -keys -enum_cont -verifycontext -fqcn |
|
|
Пользователи, просматривающие эту тему |
Guest |
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
ЕСИА версия 2.90, код авторизации
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.