search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
doc: credential for 8i4b3j account changed
[libisds.git] / doc / login
blobb8cb00476ce9f38f5c9c89dca3d01ad69cc3106d
1 Log in specification
2 =====================
3
4 Source: Provozní řád ISDS, version 2010-01-22, Pages 10–13, 16
5 Source: Vyhláška o stanovení podrobností užívání a provozování ISDS (194/2009
6     Coll.)
7 Source: Webové služby ISDS pro manipulaci s datovými zprávami,
8     version 2 (2009-06-25)
9
10
11 Connection tracking of web services is done via HTTP Cookie, or HTTP client
12 must attach authentication data to each request. These two different
13 connection trackings are differentiated on base URL clients connect to.
14
15 Allowed log in methods:
16
17     – HTTPS connection, server authenticated using SSL server certificate,
18     user authenticated using HTTP 1.1 basic authentication with user name and
19     password.
20
21     – SSL connection, user authenticated using `commercial' client
22     certificate AND user name and password. The client certificate must be
23     preregistered in web (browser) interface.
24
25     – SSL connection, user authenticated using `system' client certificate.
26     Client certificate must be preregistered to the box.
27
28     – SSL connection, user authenticated using `system' client certificate of
29     third party AND using HTTP 1.1 basic authentication (user name is box ID,
30     password is empty). This case is intended for hosted Software as Service
31     solutions.
32
33 Note: Certificate attributes `commercial' and `system' are defined in Czech
34 Electronic Signature Act.
35
36 Once client certificate is registered, user could not log in with HTTP basic
37 authentication only.
38
39 Client private key must be stored in cryptographic device in non-exportable way.
40 The device driver must provide any of the APIs in addition:
41
42     – Microsoft CryptoAPI
43     – PKCS#11 API through libp11 library.
44
45 Log-in HTTP request must not be larger than 50 KB because server implementation
46 uses weird HTTP redirects etc. Therefore SOAP DummyOperation is available for
47 log-in purposes that is small enough (other SOAP requests can be much bigger).
48
49 Desktop applications accessing ISDS must log in only on manual request of
50 a user. Daemon implementations can log in automatically, but they are forbidden
51 to abuse ISDS (e.g. redownloading old messages).
Client library for ISDS