Сбер ID
Документация

1.2.1. Параметры запроса

Back-end Партнера инициирует запрос в back-end Банка на получение access token и Id token, направляя в запросе полученный ранее код авторизации.

Пример запроса на получение access token и Id token:

curl --request POST \
  --url https://api.sberbank.ru:8443/prod/tokens/v2/oidc \
  --header 'accept: application/json' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --header 'rquid: REPLACE_THIS_VALUE' \
  --header 'x-ibm-client-id: REPLACE_THIS_KEY' \
  --data 'grant_type=authorization_code&scope=openid+name+maindoc&client_id=5e76680a-6344-4978-8ee4-5ff6370695ddd&client_secret=****yTd7r1&code=*****B6199B56184&redirect_uri=https%3A%2F%2Fwww.sberbank.ru%2F&code_verifier=dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk'

Таблица 9. Описание полей запроса на получение access token и id token

№ п/п

Наименование заголовка/поля

Заголовок / Поле

Описание

Обязательность поля

1

X-IBM-Client-ID

Заголовок

Идентификатор системы Партнера, полученный Партнером в Личном Кабинете после регистрации приложения.

Да

2

RqUID

Заголовок

Уникальный идентификатор сообщения, «maxLength=32 и pattern=([0-9]|[a-f]|[A-F]){32})», переданный во входящем сообщении. Необходим для журналирования входящих вызовов и удобства разбора инцидентов.
Чтобы обеспечить уникальность, можно использовать стандартные библиотеки и классы для генерации UUID/GUID
(https://ru.wikipedia.org/wiki/UUID), убрав из результата разделители «-».

Да

3

content-type

Заголовок

Всегда принимает значение "application/x-www-form-urlencoded"

Да

4

Accept

Заголовок

Опционально. Может принимать значения application/json или application/jwt.

Нет

5

grant_type

Поле

Указывается равным authorization_code.

Да

6

code

Поле

Код авторизации, полученный от Банка. (См. Ответ на запрос кода авторизации).

Да

7

redirect_uri

Поле

Значение параметра redirect_uri, которое было указано в запросе кода авторизации.

Да

8

client_id

Поле

Идентификатор системы Партнера, полученный партнером в личном кабинете после регистрации приложения. Значение client_id должно совпадать с параметром x-ibm-client-id.

Да

9

client_secret

Поле

Пароль системы Партнера, полученный партнером в личном кабинете после регистрации приложения. Значение client_secret должно совпадать с параметром x-ibm-client-secret.

Да

10

code_verifier

Поле

Секретное значение приложения Партнера, сгенерированное для защиты от атак перехвата кода авторизации.

Данный параметр добавляется в запрос, только если код авторизации (AuthCode) был получен с использованием параметров PKCE (code_challenge и code_challenge_method).

Параметр поддерживается начиная api v2 для запроса access token, id token.

Требования к значению code_verifier см. в разделе "1.1.2.1. Параметры запроса. Блок Важно!".

Нет