Здравствуйте!
Мы хотели создать у себя Личный кабинет для клиента. И подпись по ЭЦП.
Думал на форуме найду ответы на вопросы, но вы обновили форум и весь архив пропал кажется.
У нас приложение состоит из бэкенда и фронтенда.
Фронтенд запрашивает документ, бэкенд вместе с документом передает XML.
В XML только Хэш этого Пдф(или docx,xlsx) файла.
Фронт через NCALayer подписывает XML,
(После подписи внутри XML-a который пришел с бэка, добавляется node Sign),
NCALayer как сгенерил новый XML, фронт этот XML отправляет обратно на бэк.
Бэкенд на джава. Бэкенд через вашу библиотеку КалканКрипт проверяет подпись на валидность.
Если валидный, то бэкенд сохраняет этот XML в базе.
Тут возникает вопросы.
Можете ответить пожалуйста:
- Правильно ли весь этот процесс?
- Насколько важно подпись через NCALayer. Нельзя ли передать ключ и пароль на бэкенд и там подписывать? Насколько это не законно или опасно?
- Какой формат лучше использовать в подписи? CMS или XML?
- А вообще как проверяется на законность подписи обычно? Допустим я добавлю у себя функцию проверки подписи. Котоый, берет из физического файла хэш,
и достает тот подпись который я уже в базе храню. И передаю их вашей библиотеке и ожидаю ответ. Так проверяется подпись на правильность? Допустим
через некоторое время нужно будет проверить - В СДК есть подпись с временной меткой. Насколько это важно, что оно вообще дает?