Made in Ukraine ( oAuth || openID )

Случилось мне проникнуться темой сторонней авторизации ( или идентификации ) пользователей на сайте. Обнаружилось, что под большинство социалок уже есть готовые решения .В моём случае речь о фреймворке с самым Украинским названием — Yii ( Ї ) , хотя общей сути это не меняет.

Дело в том, что после успешного прикручивания большинства популярных сервисов , моё внимание привлекло полное отсутствие Украинских провайдеров . Я написал трём нашим крупным кампаниям. Двое ответили , что «хорошо бы» но релиза ещё нет , один ответил, что и не планируют в ближайшее время.
Возможно, я не там искал?

Просьба Ваше мнение и ссылки на украинских провайдеров.
В идеале, конечно бы иметь централизованный государственный сервис.

UPD:
Оказывается есть проект по централизованной верификации , инфо от Дмитрия Дубилета :
www.facebook.com/...​3169671823552?pnref=story
И от Яники Мерило :
www.facebook.com/...​o/posts/10206011200497809

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Можу порадити запитати ось у цього чоловіка: www.facebook.com/mkashkin
Він, наскільки мені відомо, собаку з’їв на цьому, зокрема на спілкуванні з державними органами.

Что значит «централизованный»? Действительно ли он нужен для сторонней авторизации на сайте? Это типа ходить в интернет только по паспорту? :-) Вы же понимаете, что многие будут против. Я, например, сделал себе OpenID по своему доменному имени в зоне «ua». Какой ещё «украинский провайдер» мне нужен, не понимаю.

Если вам нужно, чтобы 1 человек не мог зарегистрировать 2 аккаунта на сайте, тогда можно использовать аттестаты WebMoney. От WebMoney потенциально можно получить паспортные данные.

Самая лучшая сторонняя авторизация — это клиентские сертификаты SSL. Она имеет много преимуществ перед остальными «схемами».

Не совсем так .
В контексте моей задачи ( скажем так, практически волонтёрской ) требуются:
— пасспортные данные.
— инн
И некоторые другие данные пользователя.
Было бы легче, если бы они были уже «готовы» и хранились на централизованном государственном сервисе . Задача , по большому счёту — автоматизация в формальном вопросе взаимодействия с разрешительным органом .
Имея государственный центр авторизации и единый электронный айдишник — можно наворотить массу сервисов , ориентируясь на потребность своего органа .
Гибко , масштабируемо .. можно делать по этапам .

автоматизация в формальном вопросе взаимодействия с разрешительным органом
Вы для государства программируете?

скорее для граждан . тестово — волонтёрский проект , что бы снять рутину с хобби- комьюнити .

Просто мне интересно, зачем нужно сообщать № паспорта, ИНН.

Цель моего проекта — устранить рутину по оформлению документов на продление и регистрацию радиолюбительских позывных. ( для работы в эфире ) .
Когда-то во время совка это было архи — сложно и закрыто .
Сейчас — довольно просто , но всё же есть что автоматизировать

Я вижу три этапа :
1. Offline — генерация DOC файлов членами квалификационных комиссий ( уже работает в нескольких квалификационых комиссиях Украины )
2. Online подготовка документов с последующей передачей бумаг в разрешительный орган ( текущий web — проект )
3. Полностью электронный принцип получения и продления лицензий — интеграция с государственными IT сервисами ( перспектива )

Ну и попутно , проникнуться темой , моя текущая квалификация меня не устраивает.
Мне это интересно и я готов менять то что могу .

У нас на сегодня есть три ведомства, в которых есть централизованные базы всех граждан страны — это ГФС, паспортная служба (она все еще МВД?) и Пенсионный фонд-Минсоцполитики.
Соответственно — логично делать проект на базе одного из этих ведомств.
Самое «продвинутое» в плане текущей автоматизации — ГФС, у них есть в том числе собственный работающий CA и процедуры работы с сертификатами и цифровой подписью.
Для надежной идентификации граждан необходимо построить/доделать систему двухфакторки с физическими хранилищами ключа либо на генераторах одноразовых кодов. Мне лично больше нравится OTP решение по многим причинам, которые при желании опишу, но варианты чипованых карточек (соцстрахования, паспорт) тоже годятся.
В любом случае на 45 млн. пользователей внедрение дешевым не будет, это нужно учесть сразу. Но планируемые выгоды перекроют затраты с лихвой, особенно если проект и финансирование будет на уровне Кабмина, а не одного министерства.

А как же у этих троих идёт синхронизация ?
Каким образом на западе построено ?
Видимо там есть единое хранилище , к кторому возможно привязывать все дочерние сервисы уже , со своими специфичными данными о пользователя ( гражданах ) .

А как же у этих троих идёт синхронизация ?
Боюсь — вручную, бумажками. По крайней мере до недавно было именно так.
Каким образом на западе построено ?
Самое толковое, что читал — эстонская шина x-road (кстати вроде как и Яаника Мерило к ее внедрению руку приложила), где стандартизированы только первичные ключи и механизм доступа (в свободном доступе есть полная спека этой шины, весьма познавательно).
У других, подозреваю, есть какие-то интерфейсы точка-точка между ведомствами для быстрого обмена данными, ну или централизованные реестры.
Видимо там есть единое хранилище
В общем случае да. Как минимум одно, которое заодно хранит и обрабатывает первичные ключи идентификации гражданина. Скажем, тот же ИНН вполне подходит для совершеннолетних (не знаю, можно ли его получить несовершеннолетним, хорошо бы что бы да).
Остальным достаточно хранить только этот идентификатор и свою информацию. В случае с шиной все изящнее, т.к. можно запрашивать распределенную по реестрам информацию одной «транзакцией».

ИНН на не совершеннолетнего получить можно .
Большая сложность , вероятно в гражданах которые отказываются от принятия ИНН .
Не самом деле , когда во всю трубят об электронных пасспортах явно должен быть у нас подобный центр .
Более того , если привязывать сервисы к этому центру , получение электронного пасспорта было бы дополнительной мотивацией .
Какой у нас всё-таки горизонт в этом плане !

Большая сложность , вероятно в гражданах которые отказываются от принятия ИНН
Как раз никакой — эти граждани просто отказываются таким образом от электронных услуг. И будут вынуждены топать аки ходоки в Иерусалим в центральный орган с бумагами, т.к. региональные сократят за ненадобностью после автоматизации. Но это их выбор.
явно должен быть у нас подобный центр
Самое время его и создать. И по-нормальному, а не как обычно, когда половина функций по дороге куда-то теряется (соцкарта как пример).
Кстати OTP тоже можно свой разработать, в целях экономии в средней и долгосрочной перспективе. Но тут нужно считать, т.к. обслуживать его нужно будет десятилетиями.
Какой у нас всё-таки горизонт в этом плане
Угу. В сущности самый на сегодня востребованный сервис в государстве.

А какие задачи перед Вами стоят?
Если нужен SSO, то можно глянуть в сторону SAML. В базовом случае берете уже готовый idp, например Shibboleth, и натравливаете сторонние сервисы на него, равно как и свое приложение, которое выступает в качестве SP (Service Provider).
Также, часто промышленные idp можно подружить с LDAP, а также включить поддержку Kerberos и может даже RADIUS.

речь о фреймворке с самым Украинским названием
Kohana

Я давеча свой собрал oAuth2 с двух-факторной используя Django библиотеки.
Этот рынок очень специфичный и на самом деле дико дорогой, цены которые мне назывались были неподъемные для моей, далеко не самой бедной, компании.
Вообще по функционалу, как по мне, круче всего Azure. Но и цена там серьезная.

На счет специфичности рынка Вы абсолютно правы! Многие провайдеры порой неадекватны. За то время, что ждали ответ от нескольких именитых брендов мы успели сделать свое 2фа решение с блэкджеком и токенами )) Кстати, если нужны такие девайсы или интересны новинки в этой сфере — обращайтесь, сделаем как для своих ))

Мне нужно было намного проще: авторизация по логину + паролю + пин коду через мыло или sms для веба и мобильного приложения.
Но я буду иметь в виду, спасибо за информацию!

В таком случае действительно проще сделать самому.
Кстати, будьте осторожны с алгоритмом генерации кодов для СМС. Сначала у нас был рандом, но пенитрейшн-тестеры нашли возможность восстановить сид генератора. Теперь используем один из специальных алгоритмов генерации ОТР, полет нормальный.

/dev/random не прокатил?

Не )) Сдвиговые регистры не для нас ))

все честно, по rfc :)
как по мне там все довольно очевидно и незачем выдумывать.

BankId разрабатывается приватбанком во главе с Дмитрием Дубилетом и добровольцами.

Спасибо , сделал апдейт . Нужно проникнутся темой , предполагают ли централизованное государственное хранилище и т.д. такой сервис был бы как раз в десятку .
Привязывать кикие-никакие данные пользователя к авторизации через социалки , да и хранить у себя пасспортные данные — не очень правильно .

Мысли вслух:

А где исходники этой их BaknId? Где и как хранятся данные? У кого к ним прямой доступ?

Люди делают подобные вещи с доступом к исходникам: openid.net/developers/libraries.
Конкретный случай — github.com/nov/openid_connect

Или «группа приват» таки пытается всех вокруг убедить в исключительно благих намерениях? :-)
Я это к тому, что они этот сервис прикручивают к государственным сервисам, которые сейчас активно пилят «за спасибо» добровольцы.

И да, они («группа приват»?) таки планируют использовать эту BankId для платных операций в госсервисах. Риторический вопрос: как на это отреагируют остальные стервятники^W участники банковских услуг? :-)

Чувак, надо делать самому) с начала, большим компаниям не нужны конкуренты

Это в смысле
«Сегодня в завтрашний день не все могут смотреть.
Вернее, смотреть могут не только лишь все, мало кто может это делать.» я правильно понял ? ;)

Підписатись на коментарі