OneSpan Sign Release 11.32: Privacidade aprimorada do assinante

Duo Liang, 20 de Fevereiro de 2020

A versão 11.32 do OneSpan Sign foi implantada recentemente no ambiente de visualização e sandbox. Nesta nova versão, removemos o endereço de email do assinante dos parâmetros da URL de transferência para proteger melhor a privacidade do assinante, implementamos o navegador de assinaturas na nova cerimônia do assinante, capacitamos os remetentes com a capacidade de configurar lógicas condicionais para os campos de assinatura e adicionamos várias correções de bugs . Você pode encontrar as datas de implantação de todos os nossos ambientes em nosso site. Centro de confiança página.

Neste blog, focaremos na alteração do comportamento do URL de entrega e explicaremos como isso pode afetar seu aplicativo, bem como como você pode ajustar sua integração para solucionar esse problema. Vamos começar!

O que é URL de entrega?

Um URL de entrega é um link de redirecionamento predefinido nas configurações do pacote que permite aos usuários determinar onde a cerimônia de assinatura será realocada depois que um destinatário interage com uma transação. Se você não está familiarizado com os conceitos básicos do conceito ou está interessado em aproveitar esse recurso, recomendamos que você leia nosso artigo do blog " URL de transferência " antecipadamente. 2-20-1

O URL de transferência será acionado em certos cenários e também pode ser usado como um gancho da Web para enviar mensagens em tempo real para seus terminais sobre o evento acionado. Por exemplo, quando seu destinatário recusou ou concluiu uma transação, você deseja estar ciente da alteração de status e atualizar seu banco de dados local. Uma das soluções é responder aos parâmetros anexados ao URL de transferência e usar essa informação para identificar o evento. Abaixo está uma história de usuário na prática real:

Se você especificou o URL de Transferência como: 

“Https: // localhost / oss / handover”

Depois que o destinatário com o ID do signatário "Signatário1" recusou a transação (ID de "T840KlFsIeC - LqGu9O9Enp9T6I"), as informações associadas a esse evento serão transmitidas por parâmetros e o link real no qual o destinatário será exibido:

“Https: // localhost / oss / handover? Package = T840KlFsIeC - LqGu9O9Enp9T6I %3 D & signatário = Signatário1 & status = PACKAGE_DECLINE ”

O que foi alterado?

É conveniente aproveitar o URL de entrega para enviar informações, mas os URLs e os parâmetros de consulta nem sempre são seguros. Passar informações confidenciais dessa maneira pode deixá-lo vulnerável a ataques.

Para melhor alinhar-se às melhores práticas do setor, desde 11.32, o OneSpan Sign removeu todas as informações pessoais do assinante (email, para ser específico) dos parâmetros do URL de Transferência. Ou seja, a cerimônia de assinatura clássica, a cerimônia de assinatura móvel (MSC) e a nova experiência de assinante (NSC) agora incluem apenas três parâmetros: "pacote", "assinante" e "status".

Como isso poderia me afetar?

Se sua integração costumava responder ao parâmetro de email da URL de Transferência para identificar as informações do assinante, você precisará ajustar o projeto e usar o ID do assinante para fazer o mesmo trabalho. Explicaremos essa abordagem nesta seção.

Primeiro, é importante saber que o ID do assinante na URL de Transferência se refere ao ID do assinante, em vez do ID da função, e esteja ciente de que esses dois conceitos hospedam IDs diferentes, fáceis de misturar. Para ler mais sobre as diferenças detalhadas entre o assinante e a função, consulte o blog anterior " Papel vs Signatário - Parte 1 ”.

Em seguida, a questão se resume a como usar o ID do assinante para localizar o destinatário. Se você especificou o ID do assinante e armazenou as informações no banco de dados local, basta alterar os critérios de pesquisa do email do assinante para o ID e localizar as informações do assinante. Caso contrário, se você não armazenou o ID do assinante no banco de dados, será necessário fazer uma chamada API / SDK adicional e introduzir lógicas extras.  

Para usuários da API REST, primeiro você faria uma API de recuperação de pacote para obter todos os metadados do pacote:

Solicitação HTTP

GET / api / packages / {packageId}

Cabeçalhos HTTP

Aceitar: application / json; esl-api-version = 11.21 
Autorização: básica {api_key}

Em seguida, você precisa percorrer as informações do assinante e verificar o ID do assinante. O ID do assinante está hospedado na matriz "papers"> array "signers"> "id".

Para usuários do SDK, se você especificou o ID personalizado para o objeto do assinante (nesse caso, o ID da função e o ID do assinante são os mesmos), é possível recuperar informações do assinante através do SDK e, abaixo do código Java SDK, você terá a ideia:

		string final packageId = "4hCMvx-gZdiu502pXcISHLn0pKc =";
		String final signerId = "Signer1";
		DocumentPackage pkg = eslClient.getPackage (novo PackageId (packageId));
		for (Signatário da assinatura: pkg.getSigners ()) {
			if (signerId.equals (signer.getId ())) {
				System.out.println ("E-mail do signatário:" + signer.getEmail () + "; Nome do signatário:" + signer.getFirstName () + "; Sobrenome do signatário:" + signer.getLastName ());
			}
		}

No caso de o ID da função e o ID do assinante, você recorrer à abordagem da API REST devido à natureza do SDK, que não expõe o ID do assinante.

No blog de hoje, se seu aplicativo tiver sido afetado pela alteração do produto, você poderá criar uma solução alternativa para evitar qualquer interrupção no seu serviço antes da implantação da 11.32 no ambiente de produção. 

Se você tiver alguma dúvida sobre este blog ou qualquer outra coisa relacionada à integração do OneSpan Sign ao seu aplicativo, visite o Fóruns da comunidade de desenvolvedores . Seu feedback é importante para nós!

Comunidade de desenvolvedores OneSpan Sign

Comunidade de desenvolvedores OneSpan Sign

Participe da comunidade de desenvolvedores do OneSpan Sign! Fóruns, blogs, documentação, downloads de SDK e muito mais.

Junte-se hoje