Код авторизации сбербанк что это
Перейти к содержимому

Код авторизации сбербанк что это

  • автор:

ЧТО ТАКОЕ КОД АВТОРИЗАЦИИ

Мы привыкли большую часть покупок оплачивать картами. Но иногда, при расчете в новой торговой точке или незнакомом ранее интернет-магазине, продавцы просят у покупателей предоставить им код авторизации Сбербанка. Что это такое, и где можно найти этот код? Попробуем разобраться.

ДАВАЙТЕ ПОДРОБНО РАЗБЕРЕМ ЧТО ЖЕ ТАКОЕ КОД АВТОРИЗАЦИИ

Чтобы понять, что такое авторизационный код, нужно немного представлять себе, каким образом происходит обработка безналичных операций. В общих чертах процесс выглядит следующим образом:

  • клиент предоставляет продавцу данные карты (приложив ее к pos-терминалу, или вбив реквизиты в форме оплаты интернет-магазина);
  • банк, обслуживающий терминал/платежную систему отправляет в Сбер запрос на проведение операции (на экране терминала в этот момент появляется надпись «Авторизация»);
  • Сбер проверяет, достаточно ли на карточном счете средств;
  • если нужная сумма есть на карте, деньги переводятся продавцу.

Кодом авторизации называется то самое разрешение Сбербанка на списание средств. Иными словами можно сказать, что это уникальный номер, который банк присваивает транзакции.

Важно! Не следует путать код и одноразовые пароли, которые банк присылает клиенту при работе с веб- или мобильным кабинетом.

ПРЕИМУЩЕСТВА УСЛУГИ

В каких случаях продавцы или платежные системы могут запросить коды авторизации Сбербанка? Расшифровка транзакционного кода обычно требуется, если от Сбера не было получено разрешения на списание. Причинами этого могут быть:

  • недостаток средств на карте;
  • неверный ввод пин-кода;
  • использование карточки без ведома владельца;
  • сбой соединения терминала или интернет-магазина с сервером банка.

Таким образом, запрос кода служит для того, чтобы обезопасить денежные средства клиента. Как правило, при любом сбое владельцу карты на телефон приходит СМСка от номера 900 с сообщением о транзакции и ее уникальным кодом. Если сообщение поступило, а никаких операций по карте не проводилось, стоит обратиться в службу поддержки банка и прояснить ситуацию. Если правила обработки транзакции были нарушены, клиент может в дальнейшем ее оспорить, пользуясь ее кодом.

ГДЕ ИСПОЛЬЗУЕТСЯ КОД АВТОРИЗАЦИИ В СБЕРБАНКЕ

Итак, мы выяснили, о каком коде идет речь. Перечислим основные ситуации, связанные с его запросом, интересующие держателей карт.

Читайте также: Лимит снятия наличных через банкомат Сбербанка

ПРИ ЗАХОДЕ В ЛИЧНЫЙ КАБИНЕТ СБЕРБАНК-ОНЛАЙНА

В процессе работы с веб-кабинетом Сбера клиентам периодически приходится подтверждать значимые операции, в том числе и вход в ЛК, одноразовым паролем. Банк отправляет его по СМС. Как уже было сказано выше, эти пароли не имеют никакого отношения к кодам авторизации. Рассматриваемые нами коды присваиваются только финансовым операциям, а вход в веб-кабинет таковой не является.

ПРОВЕДЕНИЕ ДИСТАНЦИОННЫХ ПЛАТЕЖЕЙ/ПЕРЕВОДОВ

При совершении переводов в веб- или мобильном кабинете Сбера, а также через его банкоматы, каждому из платежей присваивается авторизационный код. Но, напомним, он не имеет никакой связи с одноразовым паролем, который банк присылает клиенту для подтверждения операции.

СМС-ка с кодом транзакции может прийти только в том случае, если при ее проведении произошел сбой интернет-соединения с сервером. В этом случае клиенту будет достаточно ввести в специальное поле в ЛК полученные данные, а не заполнять всю платежную форму снова.

Понимая, что такое код авторизации, на чеке Сбербанка, выданном в банкомате, или в истории операций в веб-кабинете, можно найти его для каждой проведенной тарнзакции. Обычно это цифро-буквенная комбинация. Структура ее зависит от того, к какой платежной системе принадлежит карта.

РАБОТА С БАНКОВСКОЙ КАРТОЙ

Держатели банковских карт могут получать сообщения с авторизационными кодами не только при расходных, но и при приходных операциях – получении переводов, зачислении заработной платы и т. д. В этом случае код транзакции сообщается клиенту, скорее, в информационных целях. Его не придется указывать ни при снятии, ни при выводе поступившей суммы. Это просто еще одно подтверждение того, что операция была обработана правильно.

Важно! Сбербанк не может прислать сообщение с требованием сообщить ему авторизационный код. Если такая СМСка поступила, это явный признак, что доступ к карте получили мошенники.

РАЗНОВИДНОСТИ КОДОВ АВТОРИЗАЦИИ

Из сказанного выше ясно, что авторизационные банковские коды могут быть двух видов:

  • подтверждающие транзакцию;
  • сообщающие об ошибке операции.

С точки зрения пользователя, они ничем не отличаются друг от друга. Вид комбинации понятен только автоматизированным банковским системам.

Читайте также: Перекредитование ипотеки Сбербанка

Как узнать детали платежа по коду авторизации? Сбербанк дает только одну возможность – обратиться в службу клиентской поддержки. Назвав личные данные и полученный от банка номер, клиент может уточнить у оператора детали платежа, а также причину отказа в его проведении.

ПРИЧИНЫ ОТМЕНЫ АВТОРИЗАЦИИ

При работе с платежными картами транзакции могут быть отклонены банком. Это может произойти по следующим причинам:

  • недостаток средств на клиентском счете;
  • технические сбои (обрыв соединения с сервером в момент обработки платежа);
  • ошибки в выполнении операции (например, передача некорректных данных карты или неверный ввод ее пин-кода).

Кроме того, в новых для клиента торговых точках и интернет-магазинах дополнительное подтверждение может потребоваться с целью уточнения личности плательщика. Если ранее Сбер не сотрудничал с банком, обслуживающим продавца, либо в истории операций клиента нет данных о взаимодействии с ним, такая предосторожность не будет лишней. Сбербанк хочет удостовериться, что платеж производит именно владелец карты, сохранив тем самым его денежные средства от злоумышленников.

РАСПРОСТРАНЕННЫЕ ОШИБКИ ПРИ АВТОРИЗАЦИИ

Предположим, что в момент расчета карточкой терминал в магазине затребовал дополнительное подтверждение. Как узнать код авторизации платежа? Сбербанк может сообщить его по телефону, но только владельцу карты. Поэтому, не отходя от кассы, набираем номер клиентской службы, объясняем оператору ситуацию, и просим назвать нужную комбинацию. Для получения данных придется назвать либо кодовое слово по карте, либо номер паспорта. Это необходимо для аутентификации звонящего.

Как показывает практика, не каждый оператор клиентской службы умеет работать с авторизационными кодами. Если с первого раза узнать комбинацию не удалось, рекомендуем позвонить еще несколько раз, пока не попадется опытный сотрудник.

ВЫВОДЫ

Авторизационный код – это не одноразовый пароль, который отправляют клиентам для подтверждения операций в веб-банкинге. Эта комбинация формируется автоматизированными системами банка для каждой транзакции и служит подтверждением того, что платеж обработан верно. Найти код можно на чеке банкомата или кассового аппарата, а также в истории операций веб-кабинета. В случае сбоев при оплате, Сбер отправляет авторизационный код клиенту по СМС, чтобы он мог подтвердить платеж перед продавцом.

RRN платежа, код авторизации и другие параметры карточной операции

RRN платежа.
RRN (Reference Retrieval Number) – это уникальный идентификатор банковской транзакции, который назначается банком Эквайрером при инициализации платежа. RRN принимает цифробуквенное значение, состоящее из 12 символов (цифры и буквы латинского алфавита). RRN может быть запрошен при необходимости Торгово-сервисным предприятием (ТСП) у банка Эквайрера. Также этот параметр, помимо прочих, можно найти в свойствах платежа в личном кабинете PayKeeper, перейдя на вкладку «Параметры операции» или «Параметры запроса».

RRN может потребоваться, например, для уточнения корректности произведенной транзакции по платежу – в этом случае организация делает запрос в банк, указывая идентификатор транзакции. Также RRN удобно использовать для поиска платежа в личном кабинете PayKeeper.

Код авторизации.
При проведении карточной операции ей присваивается код авторизации. Последний назначается банком Эмитентом, является результатом успешно пройденной процедуры авторизации и может служить, в том числе, идентификатором проведенного платежа.
Код авторизации представляет собой строку, состоящую из 6 цифр и букв латинского алфавита. Пример кода авторизации: 95F69T. Код авторизации, в большинстве случаев, может быть найден в личном кабинете интернет-банкинга плательщика среди параметров платежа. Также код авторизации может быть запрошен в банке Эмитенте.
В личном кабинете PayKeeper код авторизации можно найти на вкладке «Параметры операции». В открывшемся окне среди прочих параметров платежа код авторизации может обозначаться по-разному, в зависимости от того, каким образом он транслируется в инфраструктуре Эквайрера: AuthCode (Промсвязьбанк, Московский Кредитный банк), APPROVAL_CODE (Русский стандарт), APPROVAL (ВТБ24), approvalCode (Cбербанк, РосЕвроБанк, Банк Открытие).

В общем случае, два вышеописанных параметра – RRN транзакции и код авторизации платежа – позволяют однозначно идентифицировать карточную операцию в инфраструктурах Эмитента и Эквайрера. Один из распространенных случаев, когда могут понадобиться RRN и Код авторизации – уточнение в банке Эмитенте статуса возврата денежных средств по произведенному платежу. Операции возврата также могут назначаются оба параметра. Плательщик имеет возможность предоставить в банк, выпустивший его карту, данные RRN и Кода аторизации возврата и получить по последнему точную информацию.

Результат авторизации 3D-Secure.
В некоторых случаях частью проведения карточной операции может являться процедура проверки кода 3D-Secure. Последняя является дополнительно мерой безопасности, созданная для того, чтобы исключить возможность мошеннических операций с картами.
Результатом проверки 3D-Secure могут быть следующие ответы Эмитента:
NOT PARTICIPATED – данный статус означает, что банковская карта не участвует в программе 3D-Secure. В основном, такими картами в настоящее время являются карты иностранных банков Эмитентов, выпускавших свои карты еще до введения 3D-Secure авторизации (например, некоторые карты AmericanExpress). В настоящее время поддержка 3D-Secure картами, выпущенными на территории РФ, является обязательной.
ATTEMPTED – данный статус присваивается результату проверки в том случае, если карта включена в программу 3D-Secure только номинально. По факту же операция проверки кода 3D-Secure в этом случае лишь эмулируется. Подобные карты могут выпускаться банками Эмитентами для того, чтобы они соответствовали современным стандартам безопасности интернет-эквайринга. В большинстве случаев эмиссия таких карт означает, что в банке Эмитенте только частично реализована поддержка 3D-Secure, или некоторые аспекты реализации программы 3D-Secure находятся в тестовом режиме.
AUTHENTICATED – статус присваивается результату проверки кода 3D-Secure, если авторизация прошла успешно.
DECLINED – статус означает, что авторизация 3D-Secure прошла неуспешно. Например, был неверно введен код авторизации либо плательщик отменил операцию проверки принудительно, нажав на ссылку отмены или закрыв страницу ACS (Access Control Server) банка Эмитента.
В личном кабинете PayKeeper результат авторизации 3D-Secure отображается на вкладке «Параметры операции» и отмечен тегом «3DSECURE».

Номер карты, имя держателя, срок действия.
Информация о карточной операции обязательно включает в себя основные характеристики самой карты, с помощью которой эта операция производится: номер карты, имя держателя карты и срок действия. Перечисленные параметры и код CVN/CVC (Card Verification Number/Card Verification Code) обычно требуется указать на платежной странице банка. Указанная плательщиком информация в дальнейшем сохраняется в качестве свойств карточной операции после завершения процедуры оплаты.
В личном кабинете PayKeeper эту информацию можно найти на вкладках «Параметры операции» и «Параметры запроса».
Например, если банком Эквайрером является Сбербанк, то срок действия карты будет отображаться на вкладке «Параметры запроса» под названием «CardAuthInfo/expiration». Первые четыре цифры будут относиться к году, последние две – к месяцу.

Если торговая точка проводит свои платежи через ВТБ24, то имя держателя карты, по которой была произведена банковская операция, можно найти на вкладке «Параметры операции» под тегом «CARD_HOLDER».

Номер карты в личном кабинете PayKeeper также отображается на вкладке «Параметры операции» под тегом «CARD_NUMBER»

Авторизация банковской карты: что это такое, как проходит операция

Баннер

«Авторизация отменена» — сталкивались с этой фразой во время покупок? Она появляется на терминале или в СМС от банка. Разбираемся, что такое авторизация банковской карты и зачем она нужна.

  • Суть операции
    • Как происходит технически

    что такое авторизация банковской карты

    Когда собралась оплатить корзину на 20 тысяч с пятью рублями на карте, но банк почему-то отменил авторизацию. Источник: piqsels.com

    Суть операции

    Авторизация банковской карты — это процесс подтверждения оплаты. Простыми словами: организация запрашивает у банка-эмитента разрешение на списание денег. Делается это, естественно, автоматически, хотя раньше она была и голосовой: продавец продукта/услуги сам звонил в банк и спрашивал, можно ли списать средства.

    Отметим, что авторизация бывает разной. Например, на сайте перед оплатой вы можете увидеть просьбу «авторизируйтесь». Это значит, что вам нужно зайти в профиль, но к авторизации карты это не имеет отношения.

    Первой мировой валютой можно назвать песо, отчеканенные в Перу и Мексике. К концу XVI века они стали самой распространенной серебряной монетой в мире.

    Другой факт

    Как происходит технически

    Операция занимает две секунды, реже — несколько минут, если интернет-соединение плохое. Но за это время происходит масса технических процессов.

    1. В процессинговый центр поступает запрос на снятие конкретной суммы.
    2. Из центра запрос идет в банк, обслуживающий карту.
    3. Банк-эмитент одобряет или не одобряет операцию (во втором случае сразу отправляется отказ), ответ снова поступает в процессинговый центр.
    4. Теперь запрос идет к банку-эквайеру , он отмечает в системе, какую сумму и на чей счет нужно перевести. Снова отправляет одобрение в платежный центр.
    5. Центр присылает ответ туда, откуда поступил запрос. Платеж проходит успешно, формируется бумажный или электронный чек.

    То есть авторизация наступает в тот момент, когда покупатель прикладывает карту к терминалу или нажимает кнопку «оплатить» при интернет-покупке.

    Важно: деньги никогда не списывают моментально, их лишь замораживают или блокируют, то есть они становятся недоступны для владельца. Продавец тоже не получает их сразу, в среднем на операцию нужно три дня.

    преавторизация банковской карты что это

    Слишком частые операции по списанию средств тоже могут стать причиной отказа в авторизации. Источник: unsplash.com

    Здесь полезно знать о еще одной вещи — преавторизации или холдировании банковской карты. Это похожий процесс, но деньги замораживают не на пару дней, а на более долгий срок.

    Например, преавторизацией пользуются отели при бронировании. Они отправляют в банк-эмитент запрос. Если на карте достаточно денег, их блокируют до дня заселения. Фактически средства остаются на счете клиента, но использовать их он не может.

    Когда последний раз бронировали отель? Если пришлось напрячься, чтобы вспомнить, значит, снова пора в отпуск! Советуем не копить, ведь стоимость отдыха растет, как тесто для куличей, а взять кредит в Совкомбанке. С выгодным процентом и комфортным ежемесячным платежом вы не ощутите финансовой нагрузки, зато сможете отдохнуть в любое время и в любом месте!

    Хотите, чтобы ваш отдых прошел потрясающе? Возьмите кредит на отпуск с долгим сроком погашения. Подайте заявку онлайн, а деньги получите сразу на банковскую карту.

    Холдированием могут пользоваться и продавцы товара (чаще интернет-магазины). Например, списывать деньги только после успешной сборки и отправки заказа. Благодаря этому можно избежать лишних расходов.

    Допустим, нужного товара не оказалось на складе. Продавцу не придется платить комиссию за возврат суммы (а заодно отвечать нервным клиентам, почему их средства не вернулись за минуту), деньги просто разморозятся.

    Преавторизация помогает в расчетах с валютой. Например, вы бронируете отель за рубежом заранее (причем резервируется сумма в рублях), происходит холдирование. Но в момент фактического списания при конвертации валюты могут снять больше или меньше денег, в зависимости от того, как изменился курс.

    Бывает и так, что технически деньги замораживают, но они не уходят продавцу даже номинально. Кассир проводит повторную операцию, но денег на счете уже недостаточно. Можно пополнить карту и провести оплату еще раз. Через некоторое время деньги за первую неудачную операцию вернутся (разморозятся). Чтобы это произошло как можно раньше, свяжитесь с банком-эмитентом.

    Когда используется

    В первую очередь авторизация банковской карты нужна для офлайн и онлайн-покупок.

    Важно: зачастую для подтверждения авторизации нужно ввести пин-код. По картам МИР его запрашивают, как правило, при покупках на сумму более 3000 рублей. Это мера безопасности, которая помешает мошенникам расплатиться вашей картой, например, в случае потери.

    Иногда в приложении банка можно увидеть надпись «авторизация ожидает подтверждения». Это значит, что банку нужно больше времени на проведение платежа. Обычно так случается при перегрузках системы или при подозрениях со стороны банка к операции.

    что такое код авторизации

    Подтверждение занимает от 15 минут до одного дня. Источник: unsplash.com

    Операцию применяют и для дебетовых, и для кредитных карт. При недостатке заемных средств, как и при нехватке своих, придет отказ.

    Причины отказа в авторизации

    Отмена авторизации — это отказ банка-эмитента в выполнении операции. Соответствующую надпись можно увидеть на терминале, в распечатанном или электронном чеке, в смс-оповещении.

    Не списались деньги с карты при покупке. Что делать, рассказали эксперты

    Почему отказывают в списании средств:

    1. Недостаточно денег. Самая распространенная причина, когда пользователь не проверяет, хватает ли денег на счете.
    2. Превышение лимита . У дебетовых и кредитных карт есть ограничения на ежемесячные и ежедневные списания — лимит операций.
    3. Истек срок карты . О перевыпуске забывать не стоит, карта будет активна только до последнего дня месяца, указанного на пластике.
    4. Блокировка карты . Возможно, вы задолжали кредиторам крупную сумму, тогда банк заблокирует счет. Или же вашу карту украли, тогда заблокировать ее попросите вы, а злоумышленники не получат ни копейки.
    5. Технические ошибки . Случаются при перегрузках или из-за плохого интернет-соединения.
    6. Повторное списание . Об этой ситуации мы рассказывали выше: когда деньги замораживают, но они даже номинально не уходят продавцу. Придется пополнить баланс и повторить операцию, т. к. на разморозку нужно время.

    В зависимости от ситуации повторная авторизация либо пройдет успешно (если проблема была в технической ошибке), либо вновь отклонится. Узнать причину отказа можно в своем банке.

    Также сообщение об отмене операции может прийти, если вы отмените оплату самостоятельно. Например, сразу после покупки обнаружите, что выбрали не тот размер. Напишете в интернет-магазин, и, возможно, в ближайшие минуты авторизация отменится.

    Чтобы на вашем счете всегда была приличная сумма денег, откройте вклад в Совкомбанке. Выгодная ставка поможет обогнать инфляцию и не только не потерять, но и приумножить свои деньги. А гибкие условия управления счетом дадут возможность пополнять его или тратить накопления в любой удобный момент.

    Заставьте свои сбережения работать и приносить вам пассивный доход! В Совкомбанке есть линейка вкладов с гибкими условиями — вы сможете подобрать подходящий вариант. Высокая ставка до 15,5% убережет деньги от инфляции и поможет быстрее накопить на крупные покупки. Подайте заявку онлайн!

    Код авторизации: что такое и зачем нужен

    Не путайте код авторизации с пин-кодом или кодом подтверждения, который приходит в СМС.

    Код авторизации — номер операции, присваиваемый банком. Его можно найти на чеке, обычно внизу, а также в справке об операции в мобильном банке. Он состоит из шести цифр. Нужен для выяснения причин отказа. Если хотите получить оперативный ответ, почему авторизацию отклонили, позвоните на горячую линию своего банка и назовите код.

    Благодаря авторизации ваши деньги всегда под дополнительной защитой. Теперь вы знаете, почему операцию могут отклонить и как действовать в случае отказа.

    Статьи про технологии у вас в почте

    Подпишитесь на подборку статей на тему технологий. Все самое интересное из рубрики Технологии будем присылать вам на почту.

    Запрос кода авторизации (auth_code)

    На Схеме взаимодействия обозначен как «5. Запрос AuthCode (перенаправление)».

    Параметры запроса 

    Front-end партнера инициирует запрос на front-end банка на получение кода авторизации, направляя GET или POST запрос из браузера клиента.

    Страницу входа по Сбер ID можно открывать и в popup-окне. Рекомендуемый размер окна — 600х600 пикселей.

    Пример запроса на получение кода авторизации 

    https://online.sberbank.ru/CSAFront/oidc/authorize.do? response_type=code &client_type=PRIVATE &scope=openid name &client_id=DA5278AC-A07F-C01A-B2D3-C231DBB2E20F &state=af0ifjsldkj &nonce=n-0S6_WzA2Mj &redirect_uri=https%3A%2F%2Fclientresource.ru%2Fcb &app=false 

    Есть вероятность, что пользователи не смогут авторизоваться на вашем ресурсе по Сбер ID в связи с переходом работы Сбер ID на сертификаты безопасности Минцифры. Подробнее на странице Переход работы Сбер ID на сертификаты Минцифры

    Описание параметров 

    Название параметра Обязательный Описание
    response_type да Тип возвращаемого ответа. Указывается равным code
    scope да Наименование групп данных, на которые подписана система партнера (выдается при регистрации системы в банке).Значение openid является обязательным и располагается на первой позиции. Разделитель – » «
    client_id да Идентификатор системы партнера, полученный партнером в личном кабинете после регистрации приложения
    state да Значение, включенное в запрос, которое также возвращается в ответе. Может быть строка любого контента. Для предотвращения подделки межсайтовых запросов используется генерируемое случайным образом уникальное значение
    Ограничение по длине значения составляет 96 символов
    nonce да Значение, сгенерированное внешней АС для предотвращения атак повторения. Это значение обычно представляет собой случайную уникальную строку или глобальный уникальный идентификатор, которые можно использовать для определения источника запроса.
    Ограничение по длине значения составляет 64 символа
    redirect_uri да Адрес страницы партнера (в формате url encode), на которую будет перенаправлен клиент после успешной аутентификации в системе банка
    client_type нет Указывается равным PRIVATE
    code_challenge нет Хэшированное значение секретного кода code_verifier партнера (генерацию code_verifier см. выше в блоке «Важно»). Хэширование выполняется методом, указанным в code_challenge_method, в нашем случае – всегда S256, поэтому code_challenge = BASE64URL-ENCODE(SHA256 (ASCII (code_verifier))) (см. https://tools.ietf.org/html/rfc7636#section-4.2 ).Например, для code_verifier = “dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk выполнение хэширования SHA256 этого значения в результате выдаст последовательность байтов [19, 211, 30, 150, 26, 26, 216, 236, 47, 22, 177, 12, 76, 152, 46, 8, 118, 168, 120, 173, 109, 241, 68, 86, 110, 225, 137, 74, 203, 112, 249, 195] , преобразование которой через Base64Url дает нам значение code_challenge = “E9Melhoa2OwvFrEMTJguCHaoeK1t8URWbuGJSstw-cM” (см. https://tools.ietf.org/html/rfc7636#appendix-B)
    code_challenge_method нет Метод преобразования секретного кода code_verifier партнера. Допустимым значением является S256
    app нет Параметр, значение которого отвечает за отображение кнопки входа через мобильное приложение СбербанкОнлайн. Необходимо указывать данный параметр только в случаях, когда страница открывается во webview партнера на мобильных устройствах для избежания ошибок при возврате после авторизации в МП СБОЛ.
    login_hint нет При передаче параметра номер телефона пользователя автоматически будет использован на странице входа по Сбер ID

    Примеры значений параметров 

      "response_type": "code", "scope": "openid name maindoc email mobile", "client_id": "DA5278AC-A07F-C01A-B2D3-C231DBB2E20F", "state": "af0ifjsldkj", "nonce": "n-0S6_WzA2Mj", "redirect_uri": "https%3A%2F%2Fclientresource.ru%2Fcb", "client_type": "PRIVATE", "code_challenge": "E9Melhoa2OwvFrEMTJguCHaoeK1t8URWbuGJSstw-cM", "code_challenge_method": "S256", "app": "false", "login_hint": "790ХХХХХХХХ" > 

    Для сценариев, в которых присутствует риск перехвата AuthCode необходимо использовать защиту PKCE (https://tools.ietf.org/html/rfc7636). По рекомендациям RFC 7636 для смягчения атак перехвата кода авторизации используется динамически создаваемое случайное значение — «code verifier». Данное значение должно быть уникальным для каждого запроса кода авторизации.

    Требования к генерации значения code_verifier (см. также https://tools.ietf.org/html/rfc7636#section-4.1):

    • Значение code_verifier — это высокоэнтропийная криптографическая случайная строка;
    • Строка генерируется с использованием допустимых символов [AZ] / [az] / [0- 9] / «-» / «.» / «_» / «~»;
    • Минимальная длина — 43 символа;
    • Максимальная длина — 128 символов. Один из возможных алгоритмов: Партнер, используя подходящий генератор случайных чисел, создает последовательность длиной от 32 до 96 байт, которую затем кодирует способом base64url. Например, для 32-байтной последовательности [116, 24, 223, 180, 151, 153, 224, 37, 79, 250, 96, 125, 216, 173, 187, 186, 22, 212, 37, 77, 105, 214, 191, 240, 91, 88, 5, 88, 83, 132, 141, 121] кодирование base64url в результате даст code_verifier в виде “dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk” (см. https://tools.ietf.org/html/rfc7636#appendix-B ).

    Важно! Партнер для вызова аутентификации не должен использовать браузер, встроенный в приложение, который предоставляет приложению доступ к cookie, или содержимому веб-страниц.

    При открытии веб-страницы Сбер ID в браузере, встроенном в приложение, будет отображена страница-заглушка, сообщающая клиенту о небезопасности входа.

    Параметры ответа 

    В случае успешной обработки запроса front-end партнера получает код авторизации по указаному в redirect_uri адресу. Тип ответа HTTP 302 Found.

    Пример ответа в случае успешного выполнения запроса 

    HTTP/1.1 302 Found Location: https%3A%2F%2Fclientresource%2Fcb HTTP/1.1 code=FA2154AC-3451-C01A-B2D3-C231DBB2E20F &state=af0ifjsldkj 

    Описание параметров ответа 

    Название параметра Описание
    Location (Заголовок) redirect_uri, указанное в запросе кода авторизации
    code (Поле) Сгенерированный код авторизации (auth_code)
    Длина строки 36 символов
    state (Поле) Значение атрибута state, указанное в запросе кода авторизации

    Примеры значений параметров 

      "code": "FA2154AC-3451-C01A-B2D3-C231DBB2E20F", "state": "af0ifjsldkj" > 

    Параметры ошибок 

    В случае неуспешной обработки запроса, front-end партнера получает сообщение, в котором содержится тип ошибки, по указаному в redirect_uri адресу. Тип ответа HTTP 302 Found.

    Пример ответа в случае ошибки 

    HTTP/1.1 302 Found Location: https%3A%2F%2Fclientresource%2Fcb HTTP/1.1 error=invalid_uri &state=af0ifjsldkj 

    Описание параметров ответа в случае ошибки 

    Название параметра Описание
    error Наименование ошибки
    state Значение атрибута state, указанное в запросе кода авторизации

    Примеры значений параметров в случае ошибки 

    Тип возвращаемой ошибк Описание
    invalid_request В запросе отсутствуют обязательные атрибуты
    unauthorized_client АС-источник запроса не зарегистрирована в Банке
    unauthorized_client АС-источник запроса заблокирована в Банке
    unauthorized_client Значение атрибута client_id не соответствует формату
    unsupported_response_type Значение атрибута response_type не равно «code»
    invalid_scope Значение атрибута scope не содержит параметр openid в начальной позиции
    invalid_scope Запрошенный scope содержит значения, недоступные для АС-источника запроса
    access_denied Клиент отказался от передачи согласий
    invalid_state Значение атрибута state не соответствует изначальному
    window_closed Клиент закрыл окно авторизации через Сбербанк ID

    В случае отсутствия в запросе атрибута redirect_uri или в случае если значение redirect_uri не зарегистрировано для данного Партнера, Банк перенаправляет клиента на страницу, информирующую Клиента о недоступности сервиса и на партнера не вернется.

    ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей.
    Вы можете запретить сохранение cookie в настройках своего браузера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *