Нужно дать пользователю вход в сервис “в один клик” через ЕСИА, подтягивать ФИО/телефон/email из подтверждённой учётки, снизить фрод и повысить конверсию в регистрацию/онбординг, соблюдая требования ИБ и криптографии (ГОСТ).

• Протокол: OAuth 2.0 / (мигрируем на OpenID Connect по требованиям ЕСИА).
• Шлюзовой модуль/API Gateway ЕСИА введён, сроки по OIDC и СКЗИ ужесточены (КС3; переходные сроки).
• Требуются сертифицированные СКЗИ и корректная работа с ГОСТ-криптографией (ГОСТ Р 34.10-2012, 34.11-2012).
• Подключение через тестовую среду ЕСИА, потом — промышленная; регламент и методички Минцифры обязательны.

Архитектура решения (вкратце)

• Frontend: кнопка “Войти через Госуслуги” → редирект на ЕСИА (AuthCode Flow).

• Auth-Backend: эндпоинты /auth/esia/login, /auth/esia/callback; обмен кода на токен, проверка подписи/алгоритма, запрос профиля.

• Crypto-контур: хранилище ключей и сертификатов (ГОСТ), СКЗИ класса КС3; ротация сертификатов по регламенту.

• Data-map: маппинг атрибутов ЕСИА → модель пользователя (ФИО, телефон, email, SNILS — по согласованным scope/claims). 

• Логи и аудит: трассировка авторизаций, отказов, причин, технические логи отдельно от персональных.

• Безопасность: PKCE, строгие redirect URI, защита от replay/CSRF, pinning хостов ЕСИА; журнал событий ИБ.

Этапы внедрения (21 день)

• День 1–3. Подготовка

Регистрация интеграции на техпортале, подключение к тестовой среде ЕСИА, выпуск ключей и сертификатов, настройка redirect URI.
Разработка каркаса OAuth/OIDC, создание схемы таблиц пользователей, активация фича-флага ESIA_LOGIN.

• День 4–9. Разработка и интеграция

Реализация AuthCode Flow с PKCE, обмен кода на токен, верификация подписи по ГОСТ, запрос профиля пользователя.
Маппинг атрибутов (ФИО, телефон, email, СНИЛС), объединение дублей, создание UX-потока с дополнительным подтверждением email при его отсутствии.

• День 10–14. Безопасность и крипто

Подключение СКЗИ КС3, настройка безопасного хранения ключей, настройка регламента ротации и мониторинг срока действия сертификатов.

• День 15–18. Тесты и аттестация

Прохождение тест-кейсов по регламенту ЕСИА, проверка всех негативных сценариев (истекший токен, неверный scope, отказ пользователя).

• День 19–21. Промышленный запуск

Обновление метаданных, подача заявки на перевод в промышленную среду, контрольные прогоны, запуск AB-теста.

Метрики успеха

• Рост конверсии регистрации на 18–35% за счёт сокращения формы до нуля полей.

• Доля регистраций через ЕСИА: 45–60% в B2C-сценариях.

• Снижение времени онбординга на 60–80%.

• Снижение фрода и мультиаккаунтов на 20–40%.

QA-чек-лист

• Разрешены только whitelisted redirect URI.

• Проверка подписи и алгоритма ГОСТ, аудит audience и issuer токена.

• Хранение и логирование без персональных данных.

• Регулярная проверка срока действия сертификатов и регламент ротации.

• Обработка деградации ЕСИА: троттлинг, ретраи и fallback-сценарии.

Соответствие и риски

• СКЗИ КС3 обязательно; без него невозможно пройти аттестацию.

• Совместимость с OpenID Connect обязательна по новым требованиям ЕСИА.

• Необходимо следить за сроками сертификатов и обновлениями Минцифры.

• Соблюдение регламентов оператора ЕСИА/ЕПГУ обязательно на всех этапах.

Сложности проекта

• Долгая бюрократия при подаче заявок и переводе из тестовой среды в промышленную.

• Сложности при корректной валидации токенов с ГОСТ-подписью.

• UX-проблемы с консент-экранами ЕСИА и возвратом пользователя в приложение без потери контекста.

Как удалось уложиться в 21 день

• Использованы готовые шаблоны OAuth/OIDC и модуль plug-in под наш стек.

• Преднастроенный криптоконтур с автоматическим мониторингом сертификатов.

• Чёткий чек-лист тестов и готовый пакет документов под регламент ЕСИА.

Экономический эффект

• Снижение обращений в поддержку по паролям на 25–40%.

• Рост доли верифицированных аккаунтов на 30–60%.

• Увеличение конверсии в первую оплату на 5–12% за счёт доверия и быстрого входа.

Результат

• В промышленной среде — стабильная авторизация через Госуслуги.

• Подтягивание данных пользователя без ошибок, корректная отчётность и аудит.

• Юридически значимая идентификация, безопасная инфраструктура и соответствие регламентам.

Что входит в поставку “под ключ”

• Готовый модуль авторизации (OAuth2/OpenID Connect) с PKCE, логами и алертами по сертификатам.

• Инфраструктурный криптоблок (СКЗИ КС3) с регламентом ротации сертификатов.

• Пакет документов и чек-лист для прохождения тестов и получения допуска к промышленной среде.

FAQ

• Можно ли обойтись без СКЗИ?
  
  Нет, для промышленного контура это обязательное требование.
  
  
  
• Нужен ли переход на OIDC, если уже есть OAuth2?
  
  Да, курс на OIDC закреплён нормативно, требуется совместимость и план миграции.
  
  
  
• Сколько времени занимает бюрократия?
  
  Среднее время — 2–4 недели. Техническая часть модуля занимает 2–3 недели, остальное — согласования и аттестация.