Статус: Участник
Группы: Участники
Зарегистрирован: 22.02.2019(UTC) Сообщений: 10  Откуда: Иркутск
|
Здравствуйте, реализовали этот сценарий авторизации https://dss.cryptopro.ru...n/oauth/actas-token.htmlс токеном пользователя успешно выполняются GET запросы к REST API, например GET /<...>/rest/api/certificates Host stenddss.cryptopro.ru Authorization Bearer eyJ0eXAiOiJKV1QiLCJh.......49ig но POST запросы с этим же токеном всегда возвращают 401 Unauthorized например POST /<...>/rest/api/documents Host stenddss.cryptopro.ru Authorization: Bearer eyJ0eXAiOiJKV1QiLCJh.......49ig Content-Type: application/json; charset=utf-8 возвращает 401 Unauthorized Content-Type application/json; charset=utf-8 Server Microsoft-IIS/8.5 WWW-Authenticate Bearer Date Mon, 25 Feb 2019 08:21:48 GMT Content-Length 61 { "Message": "Authorization has been denied for this request." } ошибка похожа на стандартную ошибку из Web API .NET, есть ещё какие то дополнительные шаги для авторизации на REST сервисе?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 147  Поблагодарили: 31 раз в 30 постах
|
Добрый день!
У Оператора DSS нет доступа к конечной точке /documents.
Обращения к /documents могут выполнять только Пользователи DSS. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.02.2019(UTC) Сообщений: 10 Откуда: Иркутск
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 147 Поблагодарили: 31 раз в 30 постах
|
Да, ActAs-токен - это токен Оператора. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.02.2019(UTC) Сообщений: 10 Откуда: Иркутск
|
хорошо, тогда скажите пожалуйста, существует ли возможность получить токен пользователя имея только сертификат оператора с приватным ключом?
все остальные сценарии получения токена подразумевают переадресацию на ЦИ, либо наличие пользовательского сертификата для авторизации
конечная цель - иметь возможность подписать документ от имени пользователя на сервере не спрашивая авторизации пользователя, пользователь подтверждает действие при помощи смс
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 147 Поблагодарили: 31 раз в 30 постах
|
В общем случае - нет. Обычно реализуют вот такой сценарий: https://dss.cryptopro.ru.../mydss/mydss_usage.html.По ссылке описано подтверждение операций через мобильное приложение, но с СМС всё очень похоже. Основная идея: у пользователя отключена первичная аутентификация (используется только идентификация по логину) и включена вторичная аутентификация для операции подписи. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.02.2019(UTC) Сообщений: 10 Откуда: Иркутск
|
переделали на предложенный вами сценарий только через СМС ответ что СМС отправлено получаем Код:
{
"Challenge": {
"Title":{
"Value":"На ваш номер отправлено SMS сообщение с одноразовым паролем"
},
"TextChallenge":[{
"AuthnMethod":"http://dss.cryptopro.ru/identity/authenticationmethod/otpviasms",
"RefID":"1eac7cc8-b805-49c7-ae9c-f03d35d81392",
"Label":"Подпись документа. word_test.docx. Тип подписи: MSOffice. Сертификат: cert1.",
"MaxLenSpecified":false,
"HideTextSpecified":false,
"ExpiresIn":300,
"ExpiresInSpecified":true
}],
"ContextData":{
"RefID":"1eac7cc8-b805-49c7-ae9c-f03d35d81392"
}
},
"IsFinal":false,
"IsError":false
}
Телефон пользователю указан https://monosnap.com/fil...MeskYn1UfP7w0z4jEVAtU0yBоднако, СМС на телефон не приходит, есть ещё какие то настройки?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 147 Поблагодарили: 31 раз в 30 постах
|
В тестовом контуре СМС на телефон не рассылаются, а помещаются в опубликованную папку.
Вы просили администраторов настроить СМС-оповещение?
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.02.2019(UTC) Сообщений: 10 Откуда: Иркутск
|
да, папку нашли, сценарий подписи реализовали, спасибо
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.02.2018(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Можно ли подтвердить получение токена по REST вторым фактором без переадресации пользователя на сайт (используется "аутентификация по паролю" или "только идентификация")? Интересует именно подтверждение входа в dss, а не операции подписания и тд, с ними всё понятно. Пробовал стартовать транзакцию через rest/api/transactions с "OperationCode":1 (взял отсюда и из примеров кода) - получаем ошибку 400 Код:{
"Message": "invalid_operation"
}
С другими описанными операциями такой ошибки не случается. Подумал, что не работает. Также пробовал использовать API строгого подтверждения через /STS/confirmation и запрос Код:{
"Resource":"urn:cryptopro:dss:signserver:signserver",
"ConfirmationScope":"Issue"
}
Получаем ошибку 500 Код:{
"Message": "An error has occurred."
}
Остается ещё вариант завести свою область подтверждения произвольной операции, но тогда одноразовый пароль будет генерировать наше приложение, а не dss. Хотелось бы этого избежать.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
