7.5. ДОСТУП К ЗАЩИЩЕННЫМ РЕСУРСАМ

7.5. ДОСТУП К ЗАЩИЩЕННЫМ РЕСУРСАМ

В профиле применяются положения касательно доступа клиента к защищенным ресурсам, представленные в разделах 6 и 7 ФАПИ.СЕК, с учетом того, что выданные в потоке аутентификации по отдельному каналу токены используются так же, как и токены, выпущенные через потоки кода авторизации.

7.5.1. Положения клиента

Клиент, реализующий требования данного стандарта, должен поддерживать положения, указанные в пункте 6.3.3 ФАПИ.СЕК.

Кроме того, в ситуациях, когда клиент не управляет CD, клиент:

- не должен передавать <x-fapi-customer-ip-address> или <x-fapi-auth-date> в заголовке HTTP;

- должен передавать метаданные о контексте сессии CD с конечным пользователем (тип устройства, данные геолокации).

7.5.2. Механизмы защиты

В профиле применяются механизмы защиты, указанные в подразделе 5.8 ФАПИ.СЕК, а также следующие дополнительные меры:

1. Сервер авторизации должен гарантировать, что установленная во время динамической регистрации клиента (подпункт 5.4.4.5 ФАПИ.СЕК) параметром <backchannel_client_notification_endpoint> конечная точка уведомления клиента находится в окружении администрирования клиента.

2. <login_hint_token> должен быть подписан цифровой подписью, что обеспечивает подлинность данных и снижает возможность атаки с помощью внедрения данных. Подпись позволяет серверу авторизации аутентифицировать и авторизовать отправителя информации о пользователе и предотвратить сбор пользовательских идентификаторов злоумышленниками, выступающими в роли клиента.