Web2Web

Принцип работы

Авторизация

1. Клиент нажимает Войти с T‑ID на сайте партнера.

2. Сервис партнера генерирует уникальный случайный параметр state и связывает его с браузером пользователя для защиты от CSRF-атак.

3. Авторизация инициируется через вызов метода GET https://id.tbank.ru/auth/authorize со следующими параметрами:

   • client_id — идентификатор, который вы получили после регистрации.
   • redirect_uri — https://myintegration.ru/auth/complete.
   • state — уникальный случайный параметр, который генерируется партнерским приложением для связи контекста запуска авторизации с завершением.
   • response_type — code.
   • scope_parameters — необязательный параметр для T‑Business ID: JSON с ИНН и КПП компании клиента. Передается, чтобы определить, к какой компании давать доступ. Если у компании клиента нет КПП, передайте 0.

   Если данные неизвестны, не передавайте этот параметр.

"inn" : "9999980892",
"kpp" : "999991001"

4. Открывается экран аутентификации в T‑ID:

   • для веб-приложений — окно id.tbank.ru для ввода номера телефона;
   • для мобильных приложений — экран ввода кода.

5. Пользователь вводит данные для прохождения аутентификации.

6. Открывается окно авторизации с выбором доступов.

   

7. Пользователь нажимает Продолжить, соглашаясь с передачей данных. В зависимости от настроек партнерского приложения, пользователь может отметить данные, которые он не готов предоставить. Если пользователь разрешает передачу всех данных, в следующих авторизациях это окно не открывается.

8. На https://myintegration.ru/auth/complete приходит запрос. Вид запроса:

   https://myintegration.ru/auth/complete?state=ABCxyz&code=c.1aGiAXX3Ni&session_state=hXXXXXXY3kgs3nx0H3RTj3JzCSrdaqaDhU6lS8XXXXX.i4kl6dsEB1SQogzq0Nj0

   Значения параметров:

   • state — параметр, который сгенерировал сервис партнера на шаге отправки запроса /authorize;
   • code — параметр, нужный для получения Access Token на следующем шаге;
   • session_state — технический параметр T‑ID.

9. Сервис партнера валидирует параметр state. Если валидация прошла успешно, сохраните значение параметра code, чтобы получать токены.

10. Сервис партнера получает access_token через метод POST https://id.tbank.ru/auth/token. Запрос должен выполняться с бэкенда.

• Authorization: basic, где username и password соответствуют client-id и client_secret, который вы получили на электронную почту после регистрации. Примеры составления на разных языках.
• Content-type: application/x-www-form-urlencoded.
• grant_type: authorization_code.
• redirect_uri: https://myintegration.ru/auth/complete.
• code — код из пункта 9.

11. Сервис партнера получает ответ.

• access_token: токен для обращения к T-API для получения информации о пользователе;
• token_type: тип авторизации по access_token;
• expires_in: время жизни access_token;
• id_token: технический параметр T‑ID.

Персональные данные

1. Для получения информации о пользователе приложение партнера вызывает POST-метод https://secured-openapi.tbank.ru/sso/userinfo/userinfo. Запрос должен выполняться с бэкенда с использованием двухфакторной аутентификации — mTLS.

   Как выпустить mTLS-сертификат

2. Персональные данные клиента передаются для заполнения учетной записи и завершения авторизации.

3. Приложение партнера перенаправляет пользователя согласно бизнес-логике. Если вы обнаружили схожесть новых учетных данных с существующими, вы можете объединить учетные записи.