Développeur de signes OneSpan : Session, jeton d'authentification et signature url - Partie1

Duo Liang, octobre 17, 2018

Par défaut, OneSpan Sign enverra une notification par e-mail à votre signataire une fois que vous aurez créé un package. Cette notification contiendra alors un lien pour accéder à la cérémonie de signature. Toutefois, avec la capacité d'étiquetage blanc OneSpan Sign, vous pouvez désactiver ce comportement par défaut, générer le lien vous-même, puis distribuer ce lien à votre signataire à votre façon.

OneSpan Sign offre deux options principales pour générer votre propre lien vers la cérémonie de signature. Les options incluent l'utilisation d'un jeton d'authentification ou d'un jeton de session pour former l'URL ou simplement générer directement une URL de signature. Dans ce blog, nous allons explorer ces options et plonger dans l'expiration du jeton d'authentification et jeton de session. Ensuite, nous discuterons de l'approche qui est la meilleure en fonction de vos propres exigences uniques.

Cycle de vie du jeton d'authentification et du jeton de session

Comme nous l’expliquons dans nos directives,« un jeton d’authentification est utilisé pour obtenir une session valide pour un utilisateur particulier du système. » Pour commencer son cycle de vie, l’API/SDK génère le jeton d’authentification, et son cycle de vie se termine lorsque le signataire utilise l’URL contenant le jeton d’authentification pour accéder à la cérémonie de signature.

Après cela, le cycle de vie du jeton de session commence. Toutes les activités du signataire (bouillies jusqu'à l'appel REST) lors de la cérémonie de signature seront authentifiées par ce jeton de session.

Expiration de session vs autolification Token Expiry

Maintenant que vous connaissez mieux ces deux concepts, parlons-en davantage de leur expiration.

Étant donné qu'ils ont des cycles de vie et des fonctions différents, Authentication Token et Session Token partagent des délais d'expiration indépendants. Par défaut, ils sont tous deux réglés au délai d’attente après 30 minutes. Seule l’expiration du jeton de session peut être prolongée en contactant notre équipe de support.

Si vous génifiez l'URL par authentication Token et que votre signataire n'a pas eu accès à la cérémonie de signature avant son expiration, vous verrez cet avertissement dans votre iFrame :

10-18-1

La raison en est que vous utilisiez le jeton d'authentification pour générer l'URL, le jeton expiré signifie que votre signataire n'a plus les informations d'identification pour vous connecter à la cérémonie de signature. Pour cette raison, l'URL n'est plus valide.

Pour éviter cette erreur, vous pouvez choisir de générer une URL de signature pour accéder à la cérémonie de signature.

Signature de l'URL

L'URL de signature ressemble à ceci :

https://sandbox.esignlive.com/auth?target=https%3%2A%2%2F%2Fsandbox.esignlive.com Ftransaction F0q5SoDJjyLpD3wspCHTlZlQkTCk%3D%2Fsign-loginToken-UXNpazRSN3NQRGJ0Y0dwT3ZYTEQrd2ppSWlLMl R3SzI2ZzFQxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxXxxF

Notez que l'URL de signature a utilisé un "loginToken" pour former le lien.

Deux facteurs le rendent différent d’une URL de signature générée par un jeton d’authentification :

1. Un "loginToken" est moins sûr et nécessite donc une authentification plus stricte qu’une "authentificationToken". Si vous avez configuré une méthode d'authentification (SMS/Q-A/KBA) pour votre signataire et que vous souhaitez que ce processus valide votre signataire avant que son accès à la cérémonie de signature, vous choisiriez d'utiliser l'URL de signature.

D'autre part, si vous avez accès à l'URL par le biais du jeton d'authentification, il n'y aura pas de processus d'authentification, car le « jeton d'authentification » lui-même signifie que vous avez déjà authentifié votre signataire par d'autres moyens.

3. L'URL de signature n'expirera pas. C'est le même lien que celui que vous avez obtenu de la notification par e-mail OneSpan Sign envoyé aux signataires.

Grâce au blog d'aujourd'hui, nous avons couvert la session, le jeton d'authentification et l'URL de signature, et vous êtes en mesure de sélectionner une solution pour générer des URL pour votre cérémonie de signature. Dans la deuxième partie de ce blog, nous allons passer en revue le reste des détails et plonger dans les préoccupations de niveau de codage.

Si vous avez des questions concernant ce blog ou toute autre chose concernant l'intégration de OneSpan Sign dans votre application, visitez les Forums communautairesdes développeurs. Vos commentaires sont importants pour nous!