Technikai

Hogyan működik az eIDAS-ellenőrzés: Technikai mélyelemzés

Átfogó technikai áttekintés az eIDAS ellenőrzési folyamatról a QR-kód generálástól az attribútum-validálásig, beleértve a protokollokat, biztonsági intézkedéseket és integrációs mintákat.

eIDAS Pro Team
2026. január 22.
12 perc olvasás

Az ellenőrzési folyamat áttekintése

Az eIDAS-alapú személyazonosság-ellenőrzés egy gondosan felépített lépéssorozatot követ, amely a biztonság, az adatvédelem és a felhasználói élmény egyensúlyára épül. A folyamat megértése alapvető azoknak a fejlesztőknek, akik személyazonosság-ellenőrzést integrálnak az alkalmazásukba.

A teljes ellenőrzési folyamatban négy fő szereplő vesz részt:

  1. Igénybe vevő fél (az Ön alkalmazása): A személyazonosság-ellenőrzést kérő szolgáltatás
  2. eIDAS szolgáltató: Köztes réteg (middleware), amely összeköti az Ön alkalmazását az eIDAS-hálózattal
  3. Nemzeti eID tárca: A felhasználó mobilalkalmazása (pl. ID Austria, Smart-ID, BankID)
  4. Nemzeti személyazonosság-szolgáltató: A digitális személyazonosságokat kibocsátó és hitelesítő kormányzati rendszer

Járjuk végig ennek a folyamatnak minden lépését részletesen.

1. lépés: Ellenőrzési munkamenet inicializálása

Amikor az alkalmazásának ellenőriznie kell egy felhasználó személyazonosságát, a folyamat egy ellenőrzési munkamenet létrehozásával kezdődik.

Munkamenet-létrehozási kérés

Az alkalmazás API-hívást indít az eIDAS szolgáltatóhoz:

POST /api/verification/create
{
  "requestedAttributes": ["age_over_18"],
  "purpose": "Age verification for purchase",
  "returnUrl": "https://yourapp.com/verification/callback"
}

A requestedAttributes mező pontosan meghatározza, milyen információra van szüksége. Az eIDAS Pro bináris (logikai) attribútum-ellenőrzésre összpontosít: true/false válaszokat kap, nem személyes adatokat.

Életkor-ellenőrzés:

  • age_over_18: 18 éves vagy annál idősebb a felhasználó?
  • age_over_21: 21 éves vagy annál idősebb a felhasználó?
  • age_over_25: 25 éves vagy annál idősebb a felhasználó?

Lakóhely és állampolgárság ellenőrzése:

  • is_eu_resident: EU-lakos a felhasználó?
  • is_eu_citizen: EU-állampolgár a felhasználó?

Miért logikai attribútumok?

Ez a megközelítés maximális adatvédelmet biztosít minimális GDPR-felelősséggel:

  • Csak azt tudja meg, amit tudnia kell (igen/nem)
  • Nincsenek nevek, születési dátumok vagy címek, amelyeket tárolni vagy védeni kellene
  • Nincs különleges kategóriájú adatfeldolgozás
  • Drasztikusan csökkentett, adatvédelmi incidensekből eredő felelősség

Adatvédelmi megjegyzés: Az eIDAS Pro szándékosan korlátozza az elérhető attribútumokat logikai válaszokra. Ha teljes személyazonosító adatokra (nevek, címek) van szüksége, dokumentumalapú ellenőrzési megközelítésekre lesz szükség, a hozzájuk tartozó GDPR-kötelezettségekkel és költségekkel együtt. Számos szervezet használja az eIDAS-t EU-specifikus minimális adatú felhasználási esetekre és dokumentum-ellenőrzést a teljes személyazonosító adatokat igénylő forgatókönyvekre.

Adatkezelői megjegyzés: Bár az eIDAS minimalizálja az adatgyűjtést, szervezete továbbra is adatkezelő marad az Ön által tárolt ellenőrzési eredmények vonatkozásában. Részletekért a fennmaradó kötelezettségeiről tekintse meg GDPR-megfelelőségi útmutatónkat.

Munkamenet-válasz

A szolgáltató egyedi ellenőrzési munkamenetet generál és a következőt adja vissza:

{
  "sessionId": "vs_a8f2b3c1...",
  "qrCodeData": "eidas://verify?session=vs_a8f2b3c1...",
  "deepLink": "at.gv.eid://verify?session=vs_a8f2b3c1...",
  "expiresAt": "2026-01-22T15:30:00Z",
  "statusUrl": "https://api.provider.com/verification/vs_a8f2b3c1/status"
}

A munkamenet jellemzően 5–10 perc után jár le, hogy megakadályozza az elavult ellenőrzési kéréseket.

2. lépés: QR-kód generálása és megjelenítése

A QR-kód hidat képez a webalkalmazás és a felhasználó mobileszköze között.

QR-kód tartalma

A QR-kód több kritikus információt kódol:

  1. Protokoll-séma: eidas:// vagy országspecifikus sémák, mint az at.gv.eid://
  2. Munkamenet-azonosító: Összekapcsolja ezt az ellenőrzést a backend munkamenettel
  3. Szolgáltatói végpont: Ahová a tárcának el kell küldenie az ellenőrzési kérést
  4. Kért attribútumok: Milyen információt kell ellenőrizni

Modern szabványok: OpenID4VP

A modern eIDAS-implementációk az OpenID for Verifiable Presentations (OpenID4VP) szabványt használják, amely szabványosítja az ellenőrizhető hitelesítő adatok kérésének és bemutatásának módját. A QR-kód a következőket tartalmazza:

openid4vp://?
  client_id=https://yourprovider.com
  &request_uri=https://yourprovider.com/request/vs_a8f2b3c1

A request_uri egy aláírt JWT-re mutat, amely tartalmazza a teljes ellenőrzési kérést, biztosítva az integritást és megakadályozva a manipulációt.

Megjelenítési bevált gyakorlatok

Reszponzív kialakítás: Mobileszközökön QR-kód helyett „Koppintson a megnyitáshoz” gombot jelenítsen meg, mélyhivatkozásokkal a megfelelő tárcaalkalmazás közvetlen indításához.

Betöltési állapotok: Jelenítsen meg szkennelési animációt és egyértelmű utasításokat („Szkennelje be a nemzeti eID alkalmazásával”).

Alternatív lehetőségek: Biztosítson alternatív ellenőrzési módszereket az eID-tárcával nem rendelkező felhasználók számára.

3. lépés: Tárcaalkalmazásos hitelesítés

Miután a felhasználó beszkenneli a QR-kódot, nemzeti eID tárca-alkalmazása veszi át az irányítást.

Kérelem ellenőrzése

A tárca-alkalmazás:

  1. Lekéri a teljes kérést: Letölti az aláírt kérést a request_uri címről
  2. Érvényesíti az aláírásokat: Meggyőződik arról, hogy a kérés legitim szolgáltatótól származik
  3. Ellenőrzi a hatókört: Megbizonyosodik, hogy a kért attribútumok megfelelőek és jogszerűek
  4. Megjeleníti a hozzájárulási képernyőt: Megmutatja a felhasználónak, pontosan milyen információ kerül megosztásra

Felhasználói hitelesítés

Az információk kiadása előtt a tárca erős hitelesítést igényel. A módszerek országonként eltérnek, de jellemzően a következőket tartalmazzák:

Biometrikus hitelesítés (leggyakoribb):

  • Ujjlenyomat-olvasás
  • Arcfelismerés
  • Írisz-szkennelés

PIN/Jelszó: Numerikus PIN vagy alfanumerikus jelszó

Hardverbiztonság: Sok nemzeti eID tárca biztonságos elemeket (SE) vagy megbízható végrehajtási környezeteket (TEE) használ az eszközön, biztosítva, hogy a kriptográfiai kulcsok soha ne hagyják el a biztonságos enklávét.

Példa: ID Austria folyamat

  1. A felhasználó elindítja az ID Austria alkalmazást a QR-kód beolvasásával
  2. Az alkalmazás megjeleníti: „Az eidas-pro.com kéri: Életkor-ellenőrzés (18 év felett)”
  3. A felhasználó áttekinti és megérinti a „Jóváhagyás” gombot
  4. Biometrikus felszólítás: „Használja ujjlenyomatát a megerősítéshez”
  5. A felhasználó ujjlenyomattal hitelesíti magát
  6. Az alkalmazás generálja és aláírja az ellenőrzési választ

A teljes alkalmazáson belüli folyamat 3–5 másodpercet vesz igénybe visszatérő felhasználók számára.

4. lépés: Attribútumcsere és ellenőrzés

A felhasználó hitelesítése után a tárca kriptográfiailag aláírt választ készít, amely tartalmazza a kért attribútumokat.

Válaszstruktúra

A tárca Verifiable Presentation-t generál SD-JWT VC (Selective Disclosure JWT Verifiable Credentials) formátumban, amely az EU Digital Identity Wallet által ténylegesen használt formátum:

// SD-JWT VC szelektív közzététellel - csak az age_over_18 felfedése
eyJhbGciOiJFUzI1NiIsInR5cCI6InZjK3NkLWp3dCJ9.
eyJpc3MiOiJodHRwczovL2lzc3Vlci5laWRhcy5ldSIsImlhdCI6MTY0MzI4NDgwMCwiZXhwIjoxNjQzMjg4NDAwLCJ2Y3QiOiJodHRwczovL2V4YW1wbGUuZXUvcGlkIiwic3ViIjoiZGlkOmp3azpleUp1SWpvaVJGTkJJaXdpZVNJNklqWTNOell4TWpFMk15SjkiLCJfc2QiOlsiRzVFbmhPQU9vVTlYXzhRQUFBQUFBQUFBQUEiLCJKNlVWck9uQUFBQUFBQUFBQUFBQUFBQSJdLCJfc2RfYWxnIjoic2hhLTI1NiJ9.
kLJkC5RhcvkKU-VU8-U5Ng7Iq4r8KxP9I_gKU8U8U8U8U

// Közzétételi tömb (csak age_over_18 felfedve, más attribútumok rejtve)
~WyJhQUFBQUFBQSIsImFnZV9vdmVyXzE4Iix0cnVlXQ

// Key Binding JWT (bizonyítja, hogy a tulajdonos irányítja a tárcát)
eyJhbGciOiJFUzI1NiIsInR5cCI6ImtiK2p3dCJ9.
eyJub25jZSI6IjEyMzQ1Njc4OTAiLCJhdWQiOiJodHRwczovL3ZlcmlmaWVyLmNvbSIsImlhdCI6MTY0MzI4NDgwMCwic2RfaGFzaCI6ImtoMlA1LVl0QmQzSnVIbVFQQUFBQUFBIn0.
signature_proving_holder_possession

Megjegyzés a szelektív közzétételről: A fenti példa SD-JWT VC-t (Selective Disclosure JSON Web Token Verifiable Credential) használ, amely az eIDAS 2.0 végrehajtási aktusai által előírt jelenlegi szabvány. Bár a Zero-Knowledge Proofs (ZKP) kutatás tárgyát képezi a jövőbeli adatvédelmi fejlesztések érdekében, a jelenlegi EUDI Wallet implementáció szelektív közzétételt használ SD-JWT VC és mdoc formátumokban. Az életkor-ellenőrzés úgy működik, hogy csak az age_over_18: true attribútumot fedi fel, nem kriptográfiai ZKP-n keresztül.

Az SD-JWT VC kulcselemei:

  • Fejléc + Payload: Tartalmazza a kibocsátót, a kibocsátás dátumát és a szelektíven közzétehető állításokat (hashelve)
  • Közzétételek: Csak azok az attribútumok, amelyeket a felhasználó választ felfedni (ebben az esetben age_over_18: true)
  • Kulcskötés: Kriptográfiai bizonyíték arról, hogy a hitelesítő adatot bemutató személy irányítja a tárcát

Adatvédelmi előny: Az ellenőrző CSAK azt tudja meg, hogy az age_over_18 értéke igaz. Más attribútumok, mint a név, születési dátum és cím kriptográfiailag rejtve maradnak.

Kriptográfiai ellenőrzés

A szolgáltató a következőket ellenőrzi:

  1. Aláírás-ellenőrzés: Megerősíti, hogy a választ a legitim nemzeti személyazonosság-szolgáltató írta alá
  2. Tanúsítványlánc: Ellenőrzi a teljes bizalmi láncot a nemzeti gyökértanúsítvány-hatóságig
  3. Visszavonási állapot: Ellenőrzi, hogy az aláíró tanúsítványt nem vonták-e vissza
  4. Időbélyeg-ellenőrzés: Biztosítja, hogy a válasz friss és nem visszajátszott

Ez az ellenőrzés ezredmásodpercek alatt történik, előre gyorsítótárazott nyilvános kulcsok és tanúsítvány-visszavonási listák felhasználásával.

Attribútumkinyerés

Az ellenőrzés után a szükséges attribútumok kinyerésre kerülnek, majd visszajutnak az alkalmazásához:

{
  "status": "success",
  "sessionId": "vs_a8f2b3c1...",
  "attributes": {
    "age_over_18": true
  },
  "verifiedAt": "2026-01-22T12:00:05Z",
  "providerId": "AT",  // Ausztria
  "assuranceLevel": "high"  // eIDAS biztonsági szint
}

5. lépés: Valós idejű állapotfrissítések

Amíg a felhasználó a mobileszközén hitelesíti magát, a webalkalmazásnak tudnia kell, mikor fejeződik be a folyamat.

Server-Sent Events (SSE)

A legelegánsabb megoldás a Server-Sent Events használata valós idejű frissítésekhez:

const eventSource = new EventSource(
  `https://api.provider.com/verification/${sessionId}/stream`
);

eventSource.addEventListener('status', (event) => {
  const data = JSON.parse(event.data);

  if (data.status === 'scanned') {
    // A felhasználó beszkennelte a QR-kódot
    showMessage('Várakozás a hitelesítésre...');
  } else if (data.status === 'completed') {
    // Ellenőrzés sikeres
    redirectToSuccessPage();
  } else if (data.status === 'failed') {
    // Ellenőrzés sikertelen
    showError(data.reason);
  }
});

Lekérdezéses alternatíva

Olyan környezetekben, amelyek nem támogatják az SSE-t, alkalmazzon lekérdezést exponenciális visszalépéssel:

async function pollStatus(sessionId) {
  const maxAttempts = 60;  // 5 perc
  let attempts = 0;

  while (attempts < maxAttempts) {
    const response = await fetch(
      `https://api.provider.com/verification/${sessionId}/status`
    );
    const data = await response.json();

    if (data.status !== 'pending') {
      return data;
    }

    // Exponenciális visszalépés: 1mp, 2mp, 4mp, 8mp, majd 10mp
    const delay = Math.min(1000 * Math.pow(2, attempts), 10000);
    await sleep(delay);
    attempts++;
  }

  throw new Error('Ellenőrzési időtúllépés');
}

Biztonsági protokollok és titkosítás

Az eIDAS-ellenőrzés több biztonsági réteget alkalmaz a különböző támadási vektorok elleni védelem érdekében.

Az átviteli réteg biztonsága

Minden kommunikáció TLS 1.3-at használ erős cipher suite-okkal. Mobilalkalmazásoknál ajánlott a tanúsítvány-pin-elés a közbeékelődéses (MITM) támadások megelőzésére.

Kérés aláírása

Az ellenőrzési kérések JSON Web Signatures (JWS) segítségével vannak aláírva:

  • Algoritmus: ES256 (ECDSA P-256 és SHA-256 használatával)
  • Kulcstárolás: Hardveres biztonsági modulok (HSM) a szolgáltatói kulcsokhoz
  • Rotáció: Rendszeres kulcsrotáció átfedő érvényességi időszakokkal

Válaszok ellenőrzése

A válaszok ellenőrzése a következő lépéseken alapul:

  1. Digitális aláírások: Minden választ a nemzeti személyazonosság-szolgáltató digitálisan aláír
  2. Időbélyeg-ellenőrzések: A válaszokat rövid időablakon belül kell felhasználni (jellemzően 60 másodperc)
  3. Nonce-ellenőrzés: Minden kérés tartalmaz egy kriptográfiai nonce-t, amelyet a válaszban vissza kell küldeni
  4. Munkamenet-kötés: A válaszok adott munkamenetekhez kötöttek és nem használhatók újra

Adatvédelem-központú technikák

Szelektív közzététel: A felhasználók kiválaszthatják, mely attribútumokat osztják meg, még akkor is, ha többet kértek.

Zero-Knowledge Proofs (az eIDAS 2.0 ökoszisztémában): Adatok tulajdonságainak bizonyítása maguk az adatok felfedése nélkül. Például igazolható, hogy valaki 18 év feletti anélkül, hogy a születési dátuma láthatóvá válna.

Attribútumtitkosítás: Átvitel közben az attribútumok munkamenet-specifikus kulcsokkal titkosítottak, így még a szolgáltatói infrastruktúra sem fér hozzájuk, amíg az alkalmazásához meg nem érkeznek.

Integrációs minták

A különböző alkalmazás-architektúrák különböző integrációs megközelítéseket igényelnek.

1. minta: Backend-to-backend (szerveroldali)

Ajánlott szerveroldali renderelésű alkalmazásokhoz vagy natív mobilalkalmazásokhoz:

// 1. Munkamenet létrehozása a backendjén
POST /api/verification/create
→ { sessionId, qrCodeData }

// 2. QR-kód megjelenítése a felhasználónak
// 3. Állapot lekérdezése vagy streamelése backend oldalon
GET /api/verification/:sessionId/status

// 4. Befejezés után attribútumok lekérése
GET /api/verification/:sessionId/result
→ { attributes: { age_over_18: true } }

Előnyök: Teljes kontroll, jobb biztonság, az attribútumok soha nem érik el a frontendet.

2. minta: JavaScript widget (kliensoldali)

A legjobb SPA-khoz és gyors integrációkhoz:

import { EidasWidget } from '@eidaspro/widget';

const widget = new EidasWidget({
  apiKey: 'your_api_key',
  onSuccess: (attributes) => {
    console.log('Ellenőrizve:', attributes);
  },
  onError: (error) => {
    console.error('Ellenőrzés sikertelen:', error);
  }
});

widget.verify({ requestedAttributes: ['age_over_18'] });

Előnyök: Gyors integráció, automatikus UI-kezelés, reszponzív kialakítás.

3. minta: E-kereskedelmi bővítmény

A WooCommerce és Shopify platformokhoz készült előre elkészített bővítmények kezelik a teljes folyamatot:

  • Ellenőrzési lépés beiktatása a pénztárfolyamatba
  • Ellenőrzési állapot tárolása a rendeléssel
  • Adminfelület biztosítása a megfelelőségi jelentésekhez
  • A hibák és peremhelyzetek automatikus kezelése

Hibakezelés és peremhelyzetek

Egy robusztus implementációnak többféle hibaforgatókönyvet is kezelnie kell.

Gyakori hibaforgatókönyvek

Időtúllépés: A felhasználó nem olvassa be a QR-kódot a lejárati időn belül

  • Megoldás: Új QR-kód megjelenítése, munkamenet meghosszabbítása, ha a felhasználó még jelen van

Felhasználói lemondás: A felhasználó elutasítja az attribútumok megosztását

  • Megoldás: Alternatív ellenőrzési módszerek biztosítása vagy az ellenőrzés szükségességének magyarázata

Hálózati hibák: Kapcsolati problémák az ellenőrzés során

  • Megoldás: Újrapróbálkozások exponenciális visszalépéssel, munkamenet-állapot megőrzése

Nem támogatott attribútumok: A kért attribútum nem érhető el a felhasználó eID-sémájában

  • Megoldás: Elegáns visszalépés alternatív attribútumokra vagy másik ellenőrzési útra

Biztonsági szint eltérés: A felhasználó eID-ja nem felel meg az elvárt biztonsági szintnek

  • Megoldás: További hitelesítési tényező kérése vagy az ellenőrzés elutasítása egyértelmű magyarázattal

Naplózás és megfigyelés

Vezessen be átfogó naplózást a következőkre:

  • Ellenőrzési kérés részletei (személyes adatok nélkül)
  • Sikeres/sikertelen arányok országonként
  • Átlagos ellenőrzési időtartam
  • Hibatípusok és -gyakoriságok

Ezek az adatok kulcsfontosságúak a konverziós ráták optimalizálásához és a technikai problémák azonosításához.

Teljesítmény-optimalizálás

Gyorsítótárazási stratégiák

Nyilvános kulcs gyorsítótárazás: Gyorsítótárazza a nemzeti személyazonosság-szolgáltató nyilvános kulcsait megfelelő TTL-lel (jellemzően 24 óra) az ismételt lekérések elkerülése érdekében.

Tanúsítványlánc-ellenőrzés: Előzetesen kérje le és ellenőrizze a tanúsítványláncokat alacsony forgalmú időszakokban.

Földrajzi elosztás: Használjon CDN peremcsomópontokat a nemzeti személyazonosság-szolgáltató végpontjaihoz közel a késleltetés minimalizálása érdekében.

Válaszidő-célok

  • Munkamenet létrehozása: < 200ms
  • QR-kód generálás: < 50ms
  • Attribútum-validálás: < 500ms
  • Teljes felhasználói folyamat: 5–10 másodperc (elsősorban a felhasználói hitelesítés ideje)

Összegzés

Az eIDAS-ellenőrzés robusztus kriptográfiai alapokra, szabványosított protokollokra és adatvédelem-központú architektúrákra épül. A technikai folyamat megértésével - a munkamenet inicializálásától az attribútumok ellenőrzéséig - a fejlesztők biztonságos és felhasználóbarát integrációkat építhetnek.

Az OpenID4VP, az ellenőrizhető hitelesítő adatok és a decentralizált digitális identitás kombinációja olyan rendszert hoz létre, amely egész Európában jól skálázható, miközben védi a felhasználók adatait és fenntartja a jogi érvényességet.

Az eIDAS-ellenőrzés megvalósítása során összpontosítson a hibakezelésre, a teljesítmény-optimalizálásra és az egyértelmű felhasználói kommunikációra. A technikai összetettséget az alapul szolgáló protokollok kezelik; az Ön feladata, hogy zökkenőmentes és megbízható élményt teremtsen.

Technikai támogatásra van szüksége az integrációjához? Mérnöki csapatunk rendelkezésre áll architektúra-felülvizsgálatokhoz, implementációs kérdésekhez és teljesítmény-optimalizáláshoz. Lépjen kapcsolatba velünk →

Kapcsolódó cikkek

GDPR-megfelelés egyszerűen: Hogyan minimalizálja az eIDAS az adatgyűjtést

Ismerje meg, hogyan ér el magas szintű GDPR-megfelelést az eIDAS-alapú személyazonosság-ellenőrzés az adatminimalizálás, a beépített adatvédelem és a felhasználói kontroll révén. Csökkentse adatvédelmi felelősségét a biztonság javítása mellett.

11 perc olvasás

Korhatár-ellenőrzés bevezetése WooCommerce-ben eIDAS-szal

Teljes útmutató az eIDAS-alapú korhatár-ellenőrzés hozzáadásához WooCommerce áruházához. Ismerje meg, hogyan valósíthat meg jogszerű és gördülékeny ellenőrzést alkohol, dohány és más korhatáros termékek esetén.

11 perc olvasás

Címkék

eIDASTechnikaiBiztonságOpenID4VPIntegráció

Cikk megosztása

Segítsen másoknak megismerni az eIDAS-ellenőrzést