...

воскресенье, 13 июля 2014 г.

Сигнербокс — аутентификация через ДСТУ 4145

Сигнербокс — это такое веб-приложение, которое позволяет подписывать данные и аутентифицироваться в браузере через цифровой сертификат, связывающий личность с публичным ключем стандарта ДСТУ 4145-2002 (ширование на эллиптических кривых). Такие сертификаты бесплатно выдаются министерством доходов и сборов, а также коммерческими CA.

К клиентскому сигнербоксу прилагается серверный демон, который подписи проверяет и выдает результат. Демон называется dstud.


Готовая сборка лежит в ppa:ilya-muromec/dstud.


Сам сигнербокс хостится на домене eusign.org и работает по кастомному OAuth-like протоколу — получает запрос при переходе на страницу, показывает пользователю предложение авторизировать запрос и перебрасывает на обратно с готовым результатом.


Интеграция

Чтобы добавить проверку личности с помощью signerbox/dstud на сайт, нужно:


Вордпресс

Сейчас у меня есть готовый плагин для ворпдесса, он живет по адресу http://ift.tt/1jn79Y7. При регистрации приложения, нужно указать auth_url в виде https://:domain/wp-login.php. Принимаются только адреса со схемой https.


После того, как плагин настроен, на странице входа должна появится ссылка «Sign with eU».


Живое демо доступно по адресу dstu.enodev.org.


В разработке плагина принял участие юзер твиттера, скрывающийся под ником @niggaslife.


Разработка плагинов

Написать свой интеграционный плагин достаточно просто. Для этого нужно сделать такие вещи:



  • в форме входа показывать ссылку на eusign.org/auth/:app_id?state=:app_state

  • добавить обработчик auth url, который считывает GET парметры sign, nonce, cert_id

  • скачать сертификат по адресу http://ift.tt/1y9nPW7:cert_id

  • сформировать параметр data формата :nonce|:auth_url

  • отправить POST запрос на адрес localhost:8013/api/0/check с тремя параметрами: c (полученный сертификат), d (параметр data) и s (параметр sign).

  • при ответе 200 OK, распарсить результат, как набор строк key=value и создать пользователя, либо найти существующего


Поле 1.2.804.2.1.1.1.11.1.4.1.1 будет содержать налоговый идентификатор пользователя (ИНН). Поскольку данное поле содержит определенную приватную информацию о пользователе, а не является синтетическим идентифиатором, рекуомендуется использовать его не в чистом виде, а хеш с солью от него.


Содержимое параметра state, указанного при аутентификации, может быть произвольным и возвращается без изменений обратно в auth_url. Рекомендуется указывать в нем одноразовый токен для защиты от CSRF.


Тестовые сертификаты

Для удобства разработки, вместе с демоном dstud распостраняются тестовый сертификат и ключ (user.cer и user.key). Чтобы разрешить вход по тестовому сертификату, нехобходимо остановить демон dstud и запустить его из каталога testCA.


Тестовый сертификат не содержит поля 1.2.804.2.1.1.1.11.1.4.1.1.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Комментариев нет:

Отправить комментарий