Задать вопрос
splincodewd
@splincodewd
Developer

Что означает аутентификация и авторизация с ЭП на стороне клиента?

Вот я написал форму авторизации (логин и пароль), по сути это однофакторная авторизация, у заказчика стоит требования, производить аутентификация и авторизацию по учетной записи (логину и паролю) с ЭП.

Электронная подпись на стороне клиента в веб-интерфейса вызывается сторонними chrome-плагинами, но вот вопрос, какие данные-то подписывать? Разве так делаю, подписывают логин и пароль? Или я чего-то не понимаю?
  • Вопрос задан
  • 356 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
Сервер должен сгенерировать небольшой (например, 16 байт), но уникальный (никогда не повторяющийся) текст, а клиент его подписать. После этого сервер проверяет, тот ли самый текст подписал клиент, и если текст верный и подпись верна, то клиент аутентифицирован. Чтобы гарантировать уникальность текста обычно в него включают текущие дату/время с высокой точностью, например, до миллисекунд по часовому поясу, не имеющему летнего времени, например, UTC (чтобы избежать риска повтора в час перевода стрелок назад).

P.S. Рекомендую: Menezes, et al. Handbook of applied cryptography, 10.3.3, раздел (ii)
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Совершенно не обязательно использовать сторонние плагины, можно использовать аутентификацию посредством клиентского сертификата https://.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы