Kata pengantar
Sekali di galaksi yang jauh, jauh ... kami perlu mengautentikasi pengguna menggunakan akun ESIA di GosUslugi. Karena kita hidup di galaksi. Net, hal pertama yang dipelajari adalah seluruh googol untuk pesawat ruang angkasa yang sudah jadi agar tidak mengacaukan semuanya sendiri, tetapi pencarian tidak mengarah pada sesuatu yang berharga. Oleh karena itu, diputuskan untuk mempelajari topik dan mengimplementasikan pesawat ruang angkasa yang sama sendiri.
pengantar
, , , — , . , .
... , . , :
3 , 2 – , . 2 : SAML OpenID Connect. ,
01.01.2018 . SAML 2.0 ( ). OAuth 2.0 / OpenID Connect ( ).
- - - « »
- -
- -
- .
Windows, CSP. docker Linux- , . :
- .Net Framework 4.8
- CSP, .Net
- , ( 1 )
client_secret, 4 UTF-8:
- Scope ( , , ). , «fullname gender email mobile usr_org»
- Timestamp ( «yyyy.MM.dd HH:mm:ss +0000»)
- ClientId ( , )
- State ( , Guid.NewGuid().ToString(«D»))
private string GetClientSecret(
X509Certificate2 certificate,
string scope,
string timestamp,
string clientId,
string state)
{
var signMessage = Encoding.UTF8.GetBytes($"{scope}{timestamp}{clientId}{state}");
byte[] encodedSignature = SignatureProvider.Sign(signMessage, certificate);
return Base64UrlEncoder.Encode(encodedSignature);
}
SignatureProvider – , . – .
1-4: (EsiaAuthUrl). ( ) url – https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac. :
{EsiaAuthUrl}?client_id={ClientId}&scope={Scope}&response_type=code&state={State}& timestamp={Timestamp}&access_type=online&redirect_uri={RedirectUri}&client_secret={ClientSecret}
di mana RedirectUri adalah alamat di mana respons dari ESIA akan diarahkan, dan ClientSecret adalah hasil dari fungsi GetClientSecret. Parameter lain dijelaskan sebelumnya.
Jadi, kami mendapatkan URL, mengarahkan ulang pengguna di sana. Pengguna memasukkan kata sandi masuk, mengonfirmasi akses ke datanya untuk sistem Anda. Selanjutnya, ESIA mengirimkan respons ke sistem Anda di alamat RedirectUri, yang berisi kode otorisasi. Kami akan membutuhkan kode ini untuk pertanyaan lebih lanjut dalam ESIA.
Memperoleh token akses
Untuk mendapatkan data dalam ESIA, kita perlu mendapatkan token akses. Untuk melakukan ini, kami membentuk permintaan POST dalam ESIA (untuk lingkungan pengujian, url dasar adalah: https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te- EsiaTokenUrl). Bidang utama permintaan di sini dibentuk dengan cara yang sama, dalam kode Anda mendapatkan sesuatu seperti berikut:
public async Task<EsiaAuthToken> GetAccessToken(
string code,
string callbackUrl = null,
X509Certificate2 certificate = null)
{
var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
var state = Guid.NewGuid().ToString("D");
var clientSecret = GetClientSecret(
certificate,
Configuration.Scope,
timestamp,
Configuration.ClientId,
state);
var requestParams = new List<KeyValuePair<string, string>>
{
new KeyValuePair<string, string>("client_id", Configuration.ClientId),
new KeyValuePair<string, string>("code", code),
new KeyValuePair<string, string>("grant_type", "authorization_code"),
new KeyValuePair<string, string>("state", state),
new KeyValuePair<string, string>("scope", Configuration.Scope),
new KeyValuePair<string, string>("timestamp", timestamp),
new KeyValuePair<string, string>("token_type", "Bearer"),
new KeyValuePair<string, string>("client_secret", clientSecret),
new KeyValuePair<string, string>("redirect_uri", callbackUrl)
};
using (var client = new HttpClient())
using (var response = await client.PostAsync(Configuration.EsiaTokenUrl, new FormUrlEncodedContent(requestParams)))
{
response.EnsureSuccessStatusCode();
var tokenResponse = await response.Content.ReadAsStringAsync();
var token = JsonConvert.DeserializeObject<EsiaAuthToken>(tokenResponse);
Argument.NotNull(token?.AccessToken, " ");
Argument.Require(state == token.State, " ");
return token;
}
}
( Configuration). , code , . :
public class EsiaAuthToken
{
[JsonProperty("access_token")]
public string AccessToken { get; set; }
public string State { get; set; }
public EsiaAuthTokenPayload Payload
{
get
{
if (string.IsNullOrEmpty(AccessToken))
{
return null;
}
string[] parts = AccessToken.Split('.');
if (parts.Length < 2)
{
throw new System.Exception($" . : {AccessToken}");
}
var payload = Encoding.UTF8.GetString(Base64UrlEncoder.Decode(parts[1]));
return JsonConvert.DeserializeObject<EsiaAuthTokenPayload>(payload);
}
}
}
public class EsiaAuthTokenPayload
{
[JsonProperty("urn:esia:sid")]
public string TokenId { get; set; }
[JsonProperty("urn:esia:sbj_id")]
public string UserId { get; set; }
}
. . GET REST API , url (EsiaRestUrl) : https://esia-portal1.test.gosuslugi.ru/rs. , :
public async Task<EsiaUser> GetUser(string userId, string accessToken)
{
using (var client = new HttpClient())
{
client.DefaultRequestHeaders.Clear();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
var response = await client.GetStringAsync($"{Configuration.EsiaRestUrl}/prns/{userId}?embed=(organizations)");
var user = JsonConvert.DeserializeObject<EsiaUser>(response);
user.Id = user.Id ?? userId;
return user;
}
}
– . , . , . , :
public class EsiaUser
{
[JsonProperty("oid")]
public string Id { get; set; }
[JsonProperty("firstName")]
public string FirstName { get; set; }
[JsonProperty("lastName")]
public string LastName { get; set; }
[JsonProperty("middleName")]
public string MiddleName { get; set; }
[JsonProperty("trusted")]
public bool Trusted { get; set; }
[JsonProperty("organizations")]
public EsiaUserOrganizations OrganizationLinks { get; set; }
}
public class EsiaUserOrganizations
{
[JsonProperty("elements")]
public List<string> Links { get; set; }
}
, .. scope. . . , , State . scope scope’ , , :
http:
public async Task<EsiaAuthToken> GetOrganizationAccessToken(
string organizationId,
string code,
string state,
string callbackUrl = null,
X509Certificate2 certificate = null)
{
var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
var scope = string.Join(" ", Configuration.OrganizationScope.Split(new char[] { ' ' }, StringSplitOptions.RemoveEmptyEntries)
.Select(orgScope => $"{Configuration.EsiaBaseUrl}/{orgScope}?org_oid={organizationId}"));
var clientSecret = GetClientSecret(
certificate,
scope,
timestamp,
Configuration.ClientId,
state);
var requestParams = new List<KeyValuePair<string, string>>
{
new KeyValuePair<string, string>("client_id", Configuration.ClientId),
new KeyValuePair<string, string>("code", code),
new KeyValuePair<string, string>("grant_type", "client_credentials"),
new KeyValuePair<string, string>("state", state),
new KeyValuePair<string, string>("scope", scope),
new KeyValuePair<string, string>("timestamp", timestamp),
new KeyValuePair<string, string>("token_type", "Bearer"),
new KeyValuePair<string, string>("client_secret", clientSecret),
new KeyValuePair<string, string>("redirect_uri", callbackUrl)
};
using (var client = new HttpClient())
using (var response = await client.PostAsync(Configuration.EsiaTokenUrl, new FormUrlEncodedContent(requestParams)))
{
response.EnsureSuccessStatusCode();
var tokenResponse = await response.Content.ReadAsStringAsync();
var token = JsonConvert.DeserializeObject<EsiaAuthToken>(tokenResponse);
Argument.NotNull(token?.AccessToken, " ");
Argument.Require(state == token.State, " ");
return token;
}
}
, .
public async Task<EsiaOrganization> GetOrganization(string organizationLink, string accessToken)
{
using (var client = new HttpClient())
{
client.DefaultRequestHeaders.Clear();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
var response = await client.GetStringAsync(organizationLink);
var organization = JsonConvert.DeserializeObject<EsiaOrganization>(response);
return organization;
}
}
:
var accessToken = await IntegrationService.GetAccessToken(request.Code, request.CallbackUrl);
var user = await IntegrationService.GetUser(accessToken.Payload.UserId, accessToken.AccessToken);
if (user.OrganizationLinks?.Links?.Any() == true)
{
var link = user.OrganizationLinks.Links.First();
var organizationId = link.Split('/').Last();
var organizationAccessToken = await IntegrationService.GetOrganizationAccessToken(organizationId, request.Code, accessToken.State, request.CallbackUrl);
user.Organization = await IntegrationService.GetOrganization(link, organizationAccessToken.AccessToken);
}
return user;
Mungkin ini cukup untuk skenario dasar interaksi dengan ESIA. Secara umum, jika Anda mengetahui fitur implementasi, koneksi perangkat lunak sistem ke ESIA tidak akan memakan waktu lebih dari 1 hari. Jika Anda memiliki pertanyaan, silakan komentar. Terima kasih telah membaca posting saya sampai akhir, semoga bermanfaat.