Как можно проверить, что ответ с результатами идентификации получен именно от ЕСИА?

Как можно проверить, что ответ с результатами идентификации получен именно от ЕСИА?

В случае SAML после получения ответа от ЕСИА необходимо обязательно проверить, что сертификат ключей, использованных для шифрования и передачи сведений о пользователе в SAML Assertion совпадает с сертификатом ЕСИА, опубликованным в метаданных ЕСИА. Если этим пренебречь, то с использованием функции входа через ЕСИА можно будет осуществлять вход на ваш сайт под чужими учетными записями в обход аутентификации пользователя. Это не единственная необходимая проверка безопасности, но одна из важнейших.

В случае OpenID Connect при входе пользователя нужно проверять полученный ID Token. Структура токена описана в документе «Методические рекомендации по использованию ЕСИА». Актуальный сертификат ключей, используемых для подписи ID Token, Минкомсвязь не публикует, но его можно запросить, обратившись в техническую поддержку ЕСИА.

Мы используем файлы cookie, чтобы улучшить работу сайта и предоставить пользователям больше возможностей. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie.
Принять