Вопрос:
Как вызвать метод userinfo? Отсутствует возможность вызова userInfo.
Ответ:
Вызов userinfo не относится к прикладной части. Для вызова метода GET/ userinfo есть отдельная спецификация.https://api.openbankingrussia.ru/userinfo-v1.0.1/
По поводу стандартизации и обязательности userinfo, ранее мы это хотели включить в ФАПИ.СЕК, но нам отказали в обязательности, ссылаясь на то, что риски использования userinfo участники должны нести сами. Поэтому мы планируем внести это позднее, возможно как отдельный рекомендательную спецификации по серверу авторизации.
Комментарии:
Юрий Михайлов:
Если мы не будем вызывать userinfo, то как мы будем матчить данные пользователя из разных банков, чтобы убедиться, что это одно ФЛ и/ или представитель ЮЛ?Екатерина Копыльцова:
userinfo можно использовать, но с учетом рисков учитывать раздел 9 Стандарта Безопасности 7706 (cbr.ru)Андрей Волков:
ФАПИ.СЕК определяет, что для этой цели требуется использовать токен идентификации (id token), который возвращается на бакэнде с токеном доступа.
Список запрашиваемых claims о пользователе указывается в объекте запроса, как определено в базовом протоколе OIDC (https://openid.net/specs/openid-connect-core-1_0.html#ClaimsParameter)Юрий Михайлов:
В id token данные пользователя не передаются или о чем речь?Андрей Волков:
Метод userinfo определен в спецификации по серверу авторизации. Для доступу к нему требуется с согласия пользователя о чем говорит ACF. security: - TPPuserinfoOAuth2Security: - obruprofile securitySchemes: TPPuserinfoOAuth2Security: type: oauth2 description:
Сторонний поставщик использует поток авторизации authorizaton code для доступа к ресурсам Поставщика услуг flows: authorizationCode: authorizationUrl: 'https://sb0.openbankingrussia.ru/sandbox0/as/aft/connect/authorize' tokenUrl: 'https://sb0.openbankingrussia.ru/sandbox0/as/aft/connect/token' scopes: userinfo: Получение информации о Пользователе