ЦРПТ нашел способ, как защитить участников маркировки Честный ЗНАК от мошенников — Меркурий Россельхознадзор

ЦРПТ нашел способ, как защитить участников маркировки Честный ЗНАК от мошенников

 Обсудить

Производителей, импортеров и продавцов маркируемой продукции переведут на общий механизм аутентификации при обращении к API СУЗ для получения кодов маркировки.

Для получения кодов маркировки производители, продавцы или импортеры маркируемой продукции направляют запросы в станцию управления заказами (СУЗ). При этом контроллер API СУЗ аутентифицирует клиентов с помощью так называемого клиентского токена.

В настоящее время механизм получения токена включает:

  1. регистрацию в пользовательском интерфейсе СУЗ клиентского устройства;
  2. на основе данных клиентского устройства СУЗ генерирует уникальный маркер безопасности (клиентский токен);
  3. маркер безопасности отображается в пользовательском интерфейсе СУЗ.

В данном случае сгенерированный маркер безопасности (клиентский токен) является статичным, то есть постоянным. Соответственно, в случае кражи маркера безопасности злоумышленником, он сможет с его помощью направлять запросы в станцию управления заказами неограниченно долго. В целях повышения безопасности информационного взаимодействия осуществляется переход на целевой механизм получения клиентского токена.

Как пояснил на вебинаре директор департамента группы общих компонентов ЦРПТ Дмитрий Данков, после перехода на новый механизм время жизни маркера безопасности (аутентификационного токена) будет составлять всего 10 часов. При этом повышается уровень защиты СУЗ и гарантируется, что маркер безопасности (аутентификационный токен) был запрошен именно участником оборота товаров.

По словам Дмитрия Данкова, в сам API СУЗ не вносится никаких изменений. Авторизация в системе через программы будет проходить также как и ранее. Изменится только сам механизм получения клиентского токена. До 1 апреля 2021 года будут работать оба механизма получения клиентского токена. «С 1 апреля 2021 года статический токен из интерфейса будет удален и будет работать только идентификатор соединения», — отметил Дмитрий Данков.

С уважением к Вашему делу, Ника Виноградова

Источник: Retail.ru