Авторизация через Госуслуги (ЕСИА) на коммерческом сайте: кому уже пора подключать

Меня зовут Максим, я веб-разработчик. В 2025 году я подключил авторизацию через Госуслуги на двух проектах: портал для управляющей компании ЖКХ и сайт микрофинансовой организации. Оба проекта требовали верификации личности пользователя — и ЕСИА оказалась самым надёжным способом. Но процесс подключения — отдельная эпопея: бюрократия, тестовые среды, согласования с Минцифры. Расскажу, как это устроено изнутри, кому реально нужна авторизация через Госуслуги и сколько времени закладывать на подключение.

Что такое ЕСИА

ЕСИА (Единая система идентификации и аутентификации) — это платформа, через которую работает авторизация на Госуслугах. Когда вы входите на gosuslugi.ru — вы авторизуетесь через ЕСИА. Эта же система позволяет сторонним сайтам (в том числе коммерческим) авторизовать пользователей и получать подтверждённые данные: ФИО, дату рождения, паспортные данные, СНИЛС, ИНН — в зависимости от уровня доступа.

Три уровня учётных записей в ЕСИА:

Упрощённая. Только телефон и email. Минимум данных — по сути, просто регистрация.

Стандартная. Паспортные данные, СНИЛС — проверены автоматически по базам ФМС и ПФР. Большинство пользователей Госуслуг имеют как минимум стандартную запись.

Подтверждённая. Личность верифицирована: через МФЦ, банк, Почту России или квалифицированную электронную подпись. Максимальный уровень доверия. Более 80 миллионов россиян имеют подтверждённую учётную запись.

Для коммерческого сайта это означает: если пользователь авторизовался через ЕСИА с подтверждённой записью — вы получаете верифицированные данные. Не «Иванов Иван» из формы регистрации (который может быть кем угодно), а реальные паспортные данные, проверенные государством.

Кому нужна авторизация через ЕСИА

Обязательно

Финансовые организации. Банки, МФО, страховые компании — для удалённой идентификации клиентов. Вместо визита в офис с паспортом — авторизация через Госуслуги.

Медицинские организации. Для доступа к ЕГИСЗ (Единая государственная информационная система здравоохранения), телемедицинских консультаций, получения электронных рецептов.

Образовательные платформы. Для выдачи юридически значимых сертификатов и дипломов, для участия в государственных программах обучения.

Управляющие компании ЖКХ. Для проведения электронных голосований ОСС (общее собрание собственников) — закон требует верификации личности голосующего.

Операторы связи. Для удалённого заключения договоров.

Рекомендуется

Интернет-магазины с ограничениями по возрасту. Для верификации возраста при покупке алкоголя (при легализации онлайн-продаж), оружия, пиротехники.

Сервисы каршеринга и аренды. Для проверки водительского удостоверения и личности.

Маркетплейсы и платформы. Для верификации продавцов и предотвращения мошенничества.

Корпоративные порталы. Для SSO (единого входа) сотрудников госучреждений и организаций, работающих с государством.

Пока не нужно

Обычным интернет-магазинам, блогам, корпоративным сайтам — ЕСИА избыточна. Если вам не нужны верифицированные персональные данные — используйте стандартную авторизацию (email/телефон, Яндекс ID, VK ID).

Как подключиться к ЕСИА: пошаговый процесс

Шаг 1: Регистрация организации

Ваша организация должна быть зарегистрирована на Госуслугах как юрлицо. Руководитель организации (или уполномоченное лицо с КЭП) создаёт учётную запись организации на портале.

Шаг 2: Заявка на подключение

Подаёте заявку через Технологический портал ЕСИА (esia.gosuslugi.ru/console). Указываете: какую информационную систему хотите подключить, какие данные хотите запрашивать, обоснование необходимости.

Для коммерческих организаций доступ ограничен: нужно обоснование (почему вам нужны именно данные из ЕСИА, а не обычная регистрация). Для финансовых и медицинских организаций — обоснование очевидно. Для остальных — нужно аргументировать.

Шаг 3: Согласование с Минцифры

Заявка рассматривается Министерством цифрового развития. Срок: от 2 до 8 недель. Могут запросить дополнительные документы, уточнения. Могут отказать — если не видят оснований для доступа к ЕСИА.

Шаг 4: Получение доступа к тестовой среде

После одобрения вы получаете: client_id, client_secret, доступ к тестовой среде ЕСИА (esia-portal1.test.gosuslugi.ru). Тестовая среда — это полная копия боевой ЕСИА, но с тестовыми учётными записями.

Шаг 5: Техническая интеграция

Интеграция через протокол OAuth 2.0 / OpenID Connect. Процесс:

1. Пользователь на вашем сайте нажимает «Войти через Госуслуги»
2. Редирект на страницу авторизации ЕСИА
3. Пользователь вводит логин/пароль Госуслуг (или использует биометрию)
4. ЕСИА возвращает authorization code на ваш callback URL
5. Ваш сервер обменивает code на access token
6. С access token запрашиваете данные пользователя через API ЕСИА
7. Получаете: ФИО, дату рождения, СНИЛС, ИНН (в зависимости от разрешённого scope)

Технические особенности:

• Все запросы подписываются КЭП (квалифицированной электронной подписью) вашей организации
• Используется ГОСТ-криптография (ГОСТ Р 34.10-2012)
• Для подписания запросов нужна серверная библиотека, поддерживающая ГОСТ (КриптоПро CSP, ViPNet CSP)

Шаг 6: Тестирование

Прогоняете все сценарии на тестовой среде: успешная авторизация, отказ пользователя, ошибки сети, различные уровни учётных записей. Готовите акт тестирования.

Шаг 7: Перевод в продуктив

Подаёте заявку на подключение к боевой среде ЕСИА. После одобрения — переключаете конфигурацию с тестовой на боевую. Проверяете работу с реальными учётными записями.

Техническая реализация

Стек

Бэкенд: Node.js. Для работы с ГОСТ-криптографией использую: node-gost-crypto или CryptoPro SDK для Node.js. Подписание запросов ГОСТ-ключом — обязательное требование ЕСИА.

OAuth 2.0 клиент. Стандартный OAuth-поток с нюансами ЕСИА: специфический формат scope, обязательная подпись client_secret_jwt.

Хранение данных. Данные пользователя из ЕСИА — персональные данные. Хранение — в зашифрованном виде, на серверах в РФ, с соблюдением 152-ФЗ.

Пример потока авторизации

Пользователь → [Кнопка "Войти через Госуслуги"] → 
  Редирект на esia.gosuslugi.ru/aas/oauth2/ac?
    client_id=YOUR_ID&
    scope=openid fullname birthdate snils&
    redirect_uri=https://yoursite.ru/esia/callback&
    response_type=code&
    state=RANDOM_STATE
→ Пользователь авторизуется на Госуслугах →
  Редирект на https://yoursite.ru/esia/callback?code=AUTH_CODE&state=RANDOM_STATE
→ Ваш сервер обменивает code на token →
  POST esia.gosuslugi.ru/aas/oauth2/te
→ Запрос данных пользователя →
  GET esia.gosuslugi.ru/rs/prns/{oid}
→ Получение: ФИО, дата рождения, СНИЛС

ГОСТ-криптография

Это главная техническая сложность. ЕСИА требует, чтобы запросы подписывались ГОСТ-алгоритмами. Для Node.js:

КриптоПро CSP. Устанавливается на сервер, предоставляет ГОСТ-криптопровайдер. Node.js обращается к нему через addon или командную строку.

Альтернатива: ViPNet CSP. Аналогичный криптопровайдер с поддержкой ГОСТ.

Лицензия КриптоПро: от 2 700 рублей за серверную лицензию. ViPNet — аналогично.

Безопасность

• Все данные из ЕСИА передаются по HTTPS
• Access token хранится в серверной сессии, не на клиенте
• Данные пользователя кэшируются только при наличии согласия
• Логирование всех авторизаций (для аудита и разрешения споров)

Сроки и бюджет

Бюрократическая часть (регистрация, заявка, согласование с Минцифры): 1–3 месяца. Ускорить практически невозможно.

Техническая интеграция (разработка, тестирование, деплой): 3–6 недель. Бюджет: 200–500 тысяч рублей.

КриптоПро CSP: лицензия от 2 700 рублей + настройка на сервере.

Итого: от старта до запуска — 2–4 месяца. Бюджет: 250–600 тысяч рублей (техническая часть).

Подводные камни

Бюрократия. Согласование с Минцифры может затянуться. Закладывайте запас по срокам.

ГОСТ-криптография. Найти Node.js-разработчика, который работал с КриптоПро и ГОСТ — непросто. Это нишевая экспертиза.

Тестовая среда ≠ боевая. Тестовые учётные записи ведут себя немного иначе, чем реальные. Некоторые баги всплывают только на боевой среде.

Ограниченный scope. Коммерческие организации получают доступ не ко всем данным. Паспортные данные, адрес регистрации — могут быть недоступны без специального обоснования.

Пользовательский опыт. Авторизация через Госуслуги — дополнительный шаг для пользователя. Не все хотят «светить» Госуслуги на коммерческом сайте. Предлагайте ЕСИА как опцию, а не единственный способ входа.

Когда ЕСИА окупается

Для микрофинансовой организации моего клиента: до подключения ЕСИА верификация клиента занимала 1–2 дня (ручная проверка паспорта). После — 30 секунд. Количество одобренных заявок выросло на 40% (клиенты перестали «отваливаться» на этапе верификации). Экономия на ручной проверке: 150 тысяч рублей в месяц.

Для управляющей компании: электронное голосование ОСС стало юридически значимым. Кворум собирается за 3 дня вместо 3 месяцев бумажного обхода квартир.

Если вашему бизнесу нужна верификация личности клиентов — ЕСИА это самый надёжный и юридически значимый способ.

Если нужна помощь с подключением — обращайтесь.