Как правильно (и в какой момент авторизации) задать параметризованные scope в ЕСИА?

Question

[petrpopov]

Добрый день.

Бьемся с авторизацией портала через ЕСИА с использованием OAuth2/OpenID Connect. Доступ в систему получен, ключи сгенерированы, разрешения на использования определенного списка scope получены. В общем, вся бюрократия соблюдена.

Список разрешенных для нас scope такой: (sbj_inf, openid, fullname, email, mobile, contacts, usr_org - базовые для получения информации о пользователе, его контактах и списке организаций в которых он состоит и дополнительные для получения более подробной информации о его организациях - org_shortname, org_fullname, org_type, org_ogrn, org_inn, org_leg, org_kpp, org_oktmo, org_ctts, org_addrs, org_brhs, org_brhs_ctts, org_brhs_addrs).

При использовании "базовых" scope мы успешно получаем код авторизации (по url на тестовом контуре esia-portal1.test.gosuslugi.ru/aas/oauth2/ac), обмениваем его на маркер доступа (https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te). Здесь все хорошо работает, с использованием полученного Access Token от нас проходят запросы на получение информации о пользователе, его контактах итд.

Дальше сложнее. Скоуп usr_org дает доступ к списку организаций пользователя, в которых содержится краткая информация - название организации, внутренний id и ОГРН (https://esia-portal1.test.gosuslugi.ru/rs/prns/{oi... Нам же нужна более подробная информация об организациях, в которых состоит пользователь. Для этого есть дополнительные scope, например org_fullname, org_type итд. В документации (доступна по адресу, доступ открытый - minsvyaz.ru/uploaded/presentations/esiametodichesk... на страницах 145-147 описывается список этих scope и приводится информация о том, что они должны параметризоваться.

Цитата:
Пример scope:
scope=“http://esia.gosuslugi.ru/org_emps?org_oid=1000000357”

Здесь непонятны сразу два момента.
1. До авторизации невозможно узнать списки организаций пользователя и как следствие узнать их id-шники. А список scope составляется до авторизации (при получении авторизационного кода) и должен совпадать со списком scope, который отправляется в запросе на получение маркера доступа. Соответственно до получения маркера доступа невозможно узнать id организаций, их можно узнать только после получения access token из маркера доступа и отправки подписанных им запросов в систему.

2. Непонятен формат подстановки scope в список для авторизации. Мы уже перебрали от безысходности все варианты - и org_fullname и org_fullname?org_id=id (с реальным id организации из тестового контура) и esia.gosuslugi.ru/org_fullname и https://esia-portal1.test.gosuslugi.ru/org_fullname с параметрами и без.

На любой запрос со scope содержащим org_fullname система отвечает ошибкой в адресной строке браузера вида:
error=invalid_scope&state=d084a665-6122-4c99-89dc-072c911a3dfa&error_description=ESIA-007006%3A+The+requested+scope+is+invalid%2C+unknown%2C+or+malformed.

В документации об этой ошибке только пара строчек - неправильный scope или некорректно составлен.

Если кто-то сталкивался с подобным при работе ЕСИА - подскажите, пожалуйста, будем признательны.

Comments

[Сергей Горностаев]

А почему вы не обращаетесь в техподдержку?

[qovalenko]

Сергей Горностаев: Потому что техподдержка только по почте.
Доступ в систему получен, ключи сгенерированы, разрешения на использования определенного списка scope получены. В общем, вся бюрократия соблюдена. Мне тоже сейчас необходимо сделать авторизацию на ЕСИА Подскажите пожалуйста как вы добавляли ИС? Вы являетесь сотрудником организации на госуслуги? Просто на техпортале у меня выдает ошибку

Answer 1

[NikitaUs]

Да, божественная документация ЕСИА всех выводит из себя=) Я сам недавно начал с ЕСИА и потратил немало времени на то чтобы разобраться как правильно c ЭТИМ работать.

Поскольку запрос на получение данных организации подразумевает передачу конкретного orgOid, то тут поможет только запрос двух маркеров последовательно. А вот scope для запроса данных организаций формируется вот в таком формате:

http://esia.gosuslugi.ru/org_shortname?org_oid=1000346115 http://esia.gosuslugi.ru/org_fullname?org_oid=1000346115 http://esia.gosuslugi.ru/org_type?org_oid=1000346115 http://esia.gosuslugi.ru/org_ogrn?org_oid=1000346115 http://esia.gosuslugi.ru/org_inn?org_oid=1000346115 http://esia.gosuslugi.ru/org_kpp?org_oid=1000346115 http://esia.gosuslugi.ru/org_agencyterrange?org_oid=1000346115 http://esia.gosuslugi.ru/org_agencytype?org_oid=1000346115 http://esia.gosuslugi.ru/org_oktmo?org_oid=1000346115 http://esia.gosuslugi.ru/org_ctts?org_oid=1000346115 http://esia.gosuslugi.ru/org_addrs?org_oid=1000346115 http://esia.gosuslugi.ru/org_emps?org_oid=1000346115

Comments

[Никита]

NikitaUs правильно ли я понимаю, что если в аккаунте пользователя привязано несколько организаций, то на каждую придется формировать такой scope отдельно. Нельзя сделать scope:

http://esia.gosuslugi.ru/org_inn?org_oid=1000346115 http://esia.gosuslugi.ru/org_inn?org_oid=1000346212

[NikitaUs]

Никита Да, все верно.

[Никита]

NikitaUs не подскажите, как задаете повторно scope? Делаете повторный запрос aas/oauth2/te c другим scope?

[Никита]

NikitaUs или вы просто получаете новую ссылку для авторизации с обновленным scope, который уже содержит oid организации и еще раз происходит переход пользователя на портал госуслуг?

[NikitaUs]

Никита, да, все верно. Первый запрос для пользователя делаяется с использованием пользовательского scope, а второй со scope организации. Пример запросов есть тут: miac.volmed.org.ru/wiki/index.php/%D0%90%D0%B2%D1%...

[Никита]

NikitaUs, спасибо, тогда так и получилось сделать

[proger_papka]

NikitaUs, У меня собственно тоже возникла такая же ошибка. Ну не в точь но похожа. Мне нужно получить аватарку пользователя. Для этого нужно получить маркер новый на scope=esia.gosuslugi.ru/usr_avt?oid=1000356243 к примеру. Вообще сейчас в документации написано что любые запросы на конкретный скоуп необходимо делать на основе системы делегирования прав. Когда ты просто посылаешь post сразу и указываешь там этот скоуп, grant_type=CLIENT_CREDENTIALS, response_type=TOKEN и все остальное по аналогии. Но почему то в ответ не приходит json токен а приходит html типо портал временно не доступен(http status = 400). Никто не сталкивался с такой проблеммой? Как вообще сделать эту систему делегирования прав? По сути это тоже самое как получение автаризационного маркера(на общие данные) только указывается скоуп через пробел и grant_type там другой.
Вот вы еще говорите что вы посылаете запрос 2 раз на получение токенна а можите сап запрос полностью показать я имеею ввиду весь со всеми заголовками параметрами итд. Ато рили какая то ерунда.

[Ruslan Luchnikov]

Никак не могу получить разрешение на получении инн организаций.Формирую повторный запрос к aas/oauth2/te, со scope esia.gosuslugi.ru/org_inn?org_oid= выдает ошибку. Нужно получать еще раз ссылку авторизации с новым scope? Или достаточно повторно запросить aas/oauth2/te с новым scope?

[alexSh_pnz]

NikitaUs Доброго времени суток.
Вы писали:

Поскольку запрос на получение данных организации подразумевает передачу конкретного orgOid, то тут поможет только запрос двух маркеров последовательно. А вот scope для запроса данных организаций формируется вот в таком формате:

А не расскажите как вы последовательно запрашиваете два маркера доступа?
Я пытаюсь запросить второй маркер на scope для получения сведений о группах пользователя, но в ответ приходит странная ошибка что не задан параметр timestampt. Хотя он точно есть. В тех поддержке спустя месяц ответили, что нужно запросить еще один код авторизации, но я не смог понять как его запросить не используя переход по ссылке.

Answer 2

[Sinator]

1) Авторизуете пользователя (получаете обратно code по запрошенным скоупам)
2) Меняете code на access_token
3) Запрашиваете данные по пользователю используя access_token (получаете список нужных вам организаций)
4) Создаете еще один запрос через API аналогичный второму пункту и получаем ЕЩЕ ОДИН access_token, но уже для организаций (обратите внимание, что grant_type уже client_credentials, а code и state используется из ответа на первый шаг)

$arParams = [
    'client_id'     => '*CLIENT_CODE*',
    'code'          => $_GET['code'],
    'grant_type'    => 'client_credentials',
    'state'         => $_GET['state'],
    'scope'         => join(' ', [
        "http://esia.gosuslugi.ru/org_inn?org_oid=*111111111*",
        "http://esia.gosuslugi.ru/org_ogrn?org_oid=*111111111*",
        "http://esia.gosuslugi.ru/org_ctts?org_oid=*111111111*",
        "http://esia.gosuslugi.ru/org_fullname?org_oid=*111111111*",
        "http://esia.gosuslugi.ru/org_type?org_oid=*111111111*",
        "http://esia.gosuslugi.ru/org_inn?org_oid=*222222222*",
        "http://esia.gosuslugi.ru/org_ogrn?org_oid=*222222222*",
        "http://esia.gosuslugi.ru/org_ctts?org_oid=*222222222*",
        "http://esia.gosuslugi.ru/org_fullname?org_oid=*222222222*",
        "http://esia.gosuslugi.ru/org_type?org_oid=*222222222*",
        "http://esia.gosuslugi.ru/org_inn?org_oid=*333333333*",
        "http://esia.gosuslugi.ru/org_ogrn?org_oid=*333333333*",
        "http://esia.gosuslugi.ru/org_ctts?org_oid=*333333333*",
        "http://esia.gosuslugi.ru/org_fullname?org_oid=*333333333*",
        "http://esia.gosuslugi.ru/org_type?org_oid=*333333333*",
    ]),
    'timestamp'     => date('Y.m.d H:i:s O'),
    'token_type'    => 'Bearer',
    'client_secret' => '*CLIENT_SECRET*',
];

5) С полученным новым токеном делаем запрос на получение информации по организации (на каждую свой):

https://esia-portal1.test.gosuslugi.ru/rs/orgs/222222222/ctts?embed=(contacts.elements)

Документация у них конечно "дно" =)

Comments

[ChillyWilly007]

А можете подсказать, что делать в таком кейсе:
- пользователь логинится как юридическое лицо (и он состоит в нескольких организациях)
- как узнать, от имени какой организации он логинится в настоящий момент, чтобы потом получить по этой организации всю информацию.

Ожидал найти oid организации в auth коде, но не нашел.

[Sinator]

ChillyWilly007, мы получаем сначала список возможных вариантов, которые привязаны к пользователю, а затем выводим их в нашем интерфейсе для выбора под кем он хочет войти - физ лицо или одним из юриков.
Даже интерфейс сделали напоминающий ЕСИА.

/*
             * В GET есть state, значит это бэк урл из ЕСИА после авторизации... обрабатываем
             */
            elseif($_GET['state']) {
                $arResult = [
                    'TYPE'  => 'ESIA',
                    'ERROR' => false,
                ];


                try {
                    // Проверяем state запроса и ответа
                    if(!$_GET['state'] == $_SESSION['oauth2.esia.state'])
                        throw new Exception('Идентификатор запроса авторизации недействителен');


                    /*
                     * Обмениваем code на токен и получаем данные
                     */
                    # Токен
                    $sAccessToken   = $this->getEsiaUserTokenByCode($_GET['code'], $_GET['state']);


                    # Запрашиваем данные по пользователю в ЕСИА
                    $arEsiaUserData = $this->getEsiaUserData($sAccessToken);




                    // Проверяем
                    if($arEsiaUserData['citizenship'] != 'RUS')
                        throw new Exception('Только граждане РФ могут авторизоваться через ЕСИА');
                    if(!$arEsiaUserData['trusted'])
                        throw new Exception('Ваша учетная запись в ЕСИА не подтверждена, подтвердите учетную запись и попробуйте еще раз');
                    if(!$arEsiaUserData['inn'])
                        throw new Exception('Для использования сервиса в ЕСИА должна быть указана информация о ИНН');



                    # Собираем контакты
                    $arContacts = [];
                    foreach($arEsiaUserData['contacts']['elements'] AS $arRow) {
                        if($arRow['vrfStu'] != 'VERIFIED')
                            continue;

                        $sType = '';
                        switch($arRow['type']) {
                            case 'EML': $sType = 'EMAIL'; break;
                            case 'MBT': $sType = 'PERSONAL_MOBILE'; break;
                            case 'PHN': $sType = 'PERSONAL_PHONE'; break;
                        }

                        if(!$sType)
                            continue;

                        $arContacts[$sType] = $arRow['value'];
                    }
                    // Проверяем Email
                    if(!$arContacts['EMAIL'])
                        throw new Exception('Для авторизации в сервисе необходимо указать в ЕСИА информацию о Email адресе');



                    # Собираем адреса
                    $arAddresses = [];
                    foreach($arEsiaUserData['addresses']['elements'] AS $arRow) {

                        $sType = '';
                        switch($arRow['type']) {
                            case 'PRG': $sType = 'ADDR_REG'; break;
                            case 'PLV': $sType = 'ADDR_ACTUAL'; break;
                        }

                        if(!$sType)
                            continue;

                        $arAddresses[$sType] = join(', ', array_diff([
                            $arRow['zipCode'],
                            $arRow['addressStr'],
                            $arRow['house']? "д. {$arRow['house']}":'',
                            $arRow['frame']? "корп. {$arRow['frame']}":'',
                            $arRow['building']? "стр. {$arRow['building']}":'',
                            $arRow['flat'] ? "кв. {$arRow['flat']}":'',
                        ], ['']));
                    }


                    # Собираем паспорт
                    $arPassport = [];
                    foreach($arEsiaUserData['documents']['elements'] AS $arDoc) {
                        if($arDoc['vrfStu'] != 'VERIFIED' || $arDoc['type'] != 'RF_PASSPORT')
                            continue;

                        $arPassport = [
                            'SERIES'     => $arDoc['series'],
                            'NUMBER'     => $arDoc['number'],
                            'ISSUE_DATE' => $arDoc['issueDate'],
                            'ISSUE_CODE' => $arDoc['issueId'],
                            'ISSUE_NAME' => $arDoc['issuedBy'],
                        ];
                        break;
                    }
                    // Проверяем паспорт
                    if(!$arPassport)
                        throw new Exception('Для использования сервиса в ЕСИА должна быть указана информация о паспорте');


                    # Получаем данные по организациям
                    $arOrgsId = [];
                    // Формируем список OID
                    foreach($arEsiaUserData['organizations']['elements'] AS $arOrg) {
                        $arOrgsId[] = $arOrg['oid'];
                    }
                    // Запрашиваем данные
                    $arEsiaUserOrgData = $this->getEsiaUserOrganizations(
                        [
                            'code' =>  $_GET['code'],
                            'state' => $_GET['state'],
                        ],
                        $arOrgsId
                    );

                    // Дополняем массив пользователя
                    $arEsiaUserData['CONTACTS_DATA']  = $arContacts;
                    $arEsiaUserData['ADDRESSES_DATA'] = $arAddresses;
                    $arEsiaUserData['PASSPORT_DATA']  = $arPassport;

                    // Сохраняем информацию в сессию для обработки при авторизации/регистрации
                    $_SESSION['ESIA'] = [
                        'TOKEN' => $sAccessToken,
                        'USER'  => $arEsiaUserData,
                        'ORGS'  => $arEsiaUserOrgData,
                    ];


                    // Редиректим на страницу с выбором учетной записи
                    $sUrl = $this->makeUrl('esia', $this->arUrlTemplates['esia']);
                    $sUrl .= (strpos($sUrl, '?') !== false?'&':'?').'choice=Y';
                    LocalRedirect($sUrl);


                } catch (Exception $e) {
                    $arResult['ERROR'] = $e->getMessage();
                }

Ну и сам код по организациям:

public function getEsiaUserOrganizations($arAccess, $arOrgsId, $arScope = null) {
        $arScope = $arScope && is_array($arScope)? $arScope : $this->arDefaultOrgScopes;

        if(!$arOrgsId || !is_array($arOrgsId))
            return [];

        # Если нет токена, то получаем его по code и state
        if(!$arAccess['access_token']) {
            if(!$arAccess['code'] || !$arAccess['state'])
                throw new Exception('Не переданы данные для получения токена доступа к организациям');

            $arTokenScopes = [];
            foreach($arOrgsId AS $iId) {
                foreach($arScope AS $sScope)
                    $arTokenScopes[] = "http://esia.gosuslugi.ru/{$sScope}?org_oid={$iId}";
            }

            $arAccess['access_token'] = $this->getEsiaCredentialsTokenByCode($arAccess['code'], $arAccess['state'], $arTokenScopes);
        }


        # Получаем данные по орг.
        $arOrganization = [];
        foreach($arOrgsId AS $iId) {
            // Выполняем запрос
            $obHttpClient = new Bitrix\Main\Web\HttpClient();
            $obHttpClient->setHeader('Content-Type', 'application/json', true);
            $obHttpClient->setHeader('User-Agent', 'PHP-HttpClient', true);
            $obHttpClient->setHeader('Authorization', "Bearer {$arAccess['access_token']}", true);
            $mResponse = $obHttpClient->get($this->getEsiaDomain() . "/rs/orgs/{$iId}");
            $arResponse = json_decode($mResponse, true);

            // Проверяем
            if($obHttpClient->getStatus() != 200 || !$arResponse) {
                $arOrganization[$iId] = ['code' => 'SYS-000000', 'message' => 'Request.incorrectResponseFormat'];
                continue;
            }

            // TODO - при необходимости получения доп инфы можно тут сделать доп подзапрос или использовать embed режим

            unset($arResponse['stateFacts']);
            $arOrganization[$iId] = $arResponse;
        }


        return $arOrganization;
    }

Запрашиваемые нами скоупы:

/**
     * @var array Массив со списком scope запрашиваемых у пользователя
     */
    protected $arDefaultUserScopes = [
        'fullname',
        'birthdate',
        'snils',
        'inn',
        'id_doc',
        'email',
        'mobile',
        'usr_org',
        'contacts',
    ];

    /**
     * @var array Массив со списком scope запрашиваемых по организации
     */
    protected $arDefaultOrgScopes = [
        'org_shortname',
        'org_fullname',
        'org_type',
        'org_inn',
        'org_ogrn',
        'org_leg',
        'org_agencyterrange',
        'org_agencytype',
        'org_ctts',
    ];

[Sinator]

ChillyWilly007, забыл сначала тебя упомянуть в ответе, так что дублирую, вдруг не получил уведомления.

[ChillyWilly007]

Sinator, спасибо за оперативный ответ. Опцию с отдельной формой для выбора рассмотрим как вариант решения. А то, что текущую организацию никак не присылает ЕСИЯ, точно известно? Копали в этом направлении?

[Sinator]

ChillyWilly007, мы не нашли признаков.
В ЕСИА при авторизации под пользователем не предлагается выбор под кем это делается, перед тем как перекинуть обратно на бэк урл.

Answer 3

[proger_papka]

У меня собственно тоже возникла такая же ошибка. Ну не в точь но похожа. Мне нужно получить аватарку пользователя. Для этого нужно получить маркер новый на scope=esia.gosuslugi.ru/usr_avt?oid=1000356243 к примеру. Вообще сейчас в документации написано что любые запросы на конкретный скоуп необходимо делать на основе системы делегирования прав. Когда ты просто посылаешь post сразу и указываешь там этот скоуп, grant_type=CLIENT_CREDENTIALS, response_type=TOKEN и все остальное по аналогии. Но почему то в ответ не приходит json токен а приходит html типо портал временно не доступен(http status = 400). Никто не сталкивался с такой проблеммой? Как вообще сделать эту систему делегирования прав? По сути это тоже самое как получение автаризационного маркера(на общие данные) только указывается скоуп через пробел и grant_type там другой.
Вот вы еще говорите что вы посылаете запрос 2 раз на получение токенна а можите сап запрос полностью показать я имеею ввиду весь со всеми заголовками параметрами итд. Ато рили какая то ерунда.

Answer 4

[nerobot-jk]

Привет! Понадобилось сделать авторизацию через ЕСИА, застрял на моменте получения кода, а именно на шифровании параметра

< client_secret > – подпись запроса в формате PKCS#7 detached signature в кодировке UTF8 от значений следующих параметров HTTP–запроса: scope, timestamp, client_id, state (без
разделителей). должен быть закодирован в формате base64 url safe.
Используемый для проверки подписи сертификат должен быть предварительно
зарегистрирован в ЕСИА и привязан к учетной записи системы-клиента в ЕСИА. ЕСИА
поддерживает сертификаты в формате X.509. ЕСИА поддерживает алгоритм
формирования электронной подписи ГОСТ Р 34.10-2012 и алгоритм криптографического
хэширования ГОСТ Р 34.11-2012.

Можете ткнуть носом на инфу или поделиться куском кода по этой части?
Заранее спасибо!

PS: вроде бы разобрался. :)

Comments

[Evgeniy Golovin]

Приветствую, поделитесь информацией если не забыли еще)
Как делается вообще подпись запроса в формате PKCS#7 detached signature

[nerobot-jk]

Привет.
Для формирования подписи использую BouncуCastle.
Код по ссылке - https://disk.yandex.ru/d/0T6x-n57Q29uqA
Подпись формирует метод signPkcs7.
Сертификат использую в формате .p12.

[Evgeniy Golovin]

nerobot-jk, мне на php надо ) но на самом деле хочется понять что передавать на подпись. В документации написано - подпись запроса в формате PKCS#7
Какой запрос то?)) У меня только и есть что АПИ ключ и все. Его разве подписывать?)

[nerobot-jk]

Формат "запроса" описан в доке, ты наверное не дочитал, смотри раздел "Использование OpenID Connect 1.0 для аутентификации пользователя":

– подпись значений пяти параметров в кодировке UTF-8:
 client_id;
 scope;
 timestamp;
 state;
 redirect_uri.

надо склеить их в одну строку и затем подписывать.

Тут как раз заморочка с тем, что для токена юзера мы передаём scope-ы как есть: "openid fullname snils inn id_doc",
а для токена организации в виде "esia.gosuslugi.ru/org_addrs?org_oid=1000298922 esia.gosuslugi.ru/org_emps?org_oid=1000298922".
Скоупы между собой склеиваем по пробелу.

Для php я встречал код, ищи по словам pkcs7 php - там именно по части библиотечки для подписи, а прочее на любом языке одинаковое.