Общие положения
Декомпозиция сервисов
- Сервис Аутентификации - "Цифровой паспорт НК"
- Сервер документооборота - Центральное хранилище документов
- Цифровой СПК
- Цифровой ЦОК
- Социальная сеть Я-Эксперт
- Мониторинг регионов ФЗ: обучение
- Конструктор проф стандартов и ОС
Все сервисы являются взаимосвязанынми, для целей аутентификации используется единый OAuth2 сервис «Цифровой паспорт "Национальные Квалификации"»
Объектная модель сервисов
Цифровой паспорт АО НК
Цифровой паспорт реализует полную модель OAuth2 аутентификации. Включая выдачу списка ролей, доступных пользователю. OAuth2 токен используется для Baerer механизма аутентификации и по умолчанию выдается на срок 24 часа. Однако может быть запрошен и на больший срок, но не более 30 календарных дней с даты получения токена. Сервер аутентификации формирует Baerer как base64 от json структуры: Профиль пользователя, Привилегии доступа, Подпись сервера аутентификации. При запросе делегирования токена, данные токена дополнительно разбавляются солью и шифруются хешем пинкода пользователя. Для получения делегированного токена пользователь должен правильно ввести пинкод. Примером использования делегированного токена является МАК, где значение ключей не велико и возможна аутентификация эксперта только по пинкоду. В иных случаях требуется допонительно к делегированному токену хранить идентификатор пользователя. Пример:
- Эксперт регистрируется в цифровом паспорте АО НК
- СПК присваивает эксперту статус Эксперта и назначает права доступа в ЦОК
- Эксперт проходит аутентификацию на портале ЦОК (в закрытой сети)
- ЦОК запрашивает обычный и делегированный токен сроком на 30 дней
- Цифровой паспорт добавляет к токену соль, шифрует его хешем пинкода пользователя и отправляет на сервер ЦОК.
- Сервер ЦОК реплицирует полученный делегированный токен на МАК
- На планшете эксперта подключенному к МАК Эксперт вводит персональный пинкод
- МАК перебирает хранимые токены экспертов и пытается расшифровать их с помощью хэша пинкода эксперта
- Если расшифрованный токен проходит проверку подлинности (без соли), токен принимается как токен эксперта. Аутентификация пройдена.
- Полученный токен используется клиентом для аутентификации как на сервере МАК, так и на сопуствующих сервисах, таких как виртуальный узел сети блокчейн.