7.1. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования" СТО БР ФАПИ.СЕК-1.6-2020" (принят и введен в действие приказом Банка России от 09.10.2020 N ОД-1650)

7.1.1. В данном разделе определяются требования к тому:

- как приложение может получить токен OAuth для доступа к данным с повышенным уровнем риска,

- как приложение может использовать OpenID Connect для идентификации пользователей;

- как использовать токены для взаимодействия с конечными точками REST, предоставляющими защищенные данные.

В данном разделе определены спецификации ФАПИ.СЕК, являющиеся интерфейсами REST API. В этих спецификациях предоставлены JSON-структуры для форматов данных с повышенным риском. Эти программные интерфейсы защищены протоколами авторизации OAuth 2.0 (см. подраздел 5.3) и OpenID Connect (см. подраздел 5.4).

В рамках настоящего протокола также допустимо включение в качестве одного из параметров ID токена временного идентификатора субъекта - владельца ресурса. В этом случае ID токен выполняет функции отдельной подписи (detached signature) ответа на запрос авторизации.

В данном разделе ответ на запрос авторизации защищается путем включения хэш-значений всех незащищенных параметров ответа, например <code> и <state>.

7.1.2. В подпункте 5.4.3.2 определен алгоритм выработки хэш-кода параметра <code> (параметр <c_hash> ID токена). Аналогично хэш-значение параметра <state> определяется следующим образом:

- <s_hash>: параметр ID токена, значение которого равно хэш-коду значения параметра <state>. Его значение вычисляется как Base64url кодирование левой половины значения хэш-функции октетов ASCII представления значения <state>. При этом используется алгоритм хэширования, указанный в параметре <alg> JOSE заголовка ID токена. Значение параметра <s_hash> вычисляет сервер авторизации, а проверяет клиент при получении ID токена.