Вопрос:
В GET /authorize по документации https://api.openbankingrussia.ru/userinfo-v1.0.1/#tag/Poluchenie-identifikacionnogo-tokena/operation/getAuthorize есть JWS-токен request, внутри которого содержатся основные данные запроса на получение кода авторизации.Но структуры содержимого токена request в документации различаются в начале страницы и в конце
Подскажите
response_type, scope, state и nonce не нужно передавать внутри токена request? Они должны передаваться только в query-параметрах самого API-запроса?
внутри токена request нужно передавать jti?
jti внутри токена request не нужно проверять на то, что он ранее не предъявлялся?
Ответ:
Обязательно передавать так же внутри объекта запроса (обеспечивает неизменность параметров за счет подписания объекта запроса).В стандарте мы следуем требования ФАПИ.СЕК в части передаче объекта запроса по значению (смотреть главы 6 и 7 в редакции 2023). Структура объекта запроса аутентификации определена в OIDC Core: 6.1. Passing a Request Object by Value
По требования ФАПИ:
-- Глава 6 (базовый уровень). scope, state и nonce - должны быть включены в состав объекта запроса (параметр request);
-- Глава 7 (расширеный уровень) требует отправлять дубликаты параметров/значений <response_type>, <client_id> ;
2. 3. Параметр jti здесь не применим. Но следует обратить внимание, что параметр state связан с конкретной сессией пользователя и ожидается, что он будет сгенерирован новый на каждый запрос.