Die Storefront API unterstützt verschiedene Login-Verfahren: Benutzername und Passwort, SSO, Punchout etc. Allen Verfahren ist gemein, dass am Ende des Anmeldeprozesses ein Refresh-Token übergeben wird. Mit diesem Refresh-Token kann über den Endpunkt
GET /storefront/user/actions/access-token
der Access-Token geholt werden, zusammen mit einem neuen Refresh-Token. In dem Moment, indem der Endpunkt abgerufen wird, verliert der alte Refresh-Token seine Gültigkeit. Mit dem Access-Token als Bearer können die authentifizierten Endpunkte bespielt werden.
Bei den Tokens handelt es sich um verschlüsselte JSON Web Token (JWT), so genannte JSON Web Encryption (JWE) Tokens. Die Tokens enthalten unter Anderem die Benutzeridentität, damit der Endpunkt Portalnutzer, Shop-Kunde, Sortiment und Einstellungen bestimmen kann. Auf Basis dieser Werte können die passenden Daten zurückgeliefert werden.
Die Tokens sind nur für eine bestimmte Zeit gültig. ITscope behält sich das Recht vor, Verschlüsselung und Gültigkeitsdauer jederzeit zu ändern. Die Gültigkeitsdauer der unbenutzten Refresh-Tokens liegt bei etwa 2 Tagen, die Gültigkeitsdauer der wiederverwendbaren Access-Tokens liegt bei etwa 2 Stunden.
Wird der Access-Token nicht mehr akzeptiert geben die authentifizierten Endpunkte HTTP-Status 401 zurück. Spätestens dann muss der Refresh-Token gegen einen neuen Refresh-Token und Access-Token eingetauscht werden. Es empfiehlt sich einen Mechanismus im Client zu implementieren, welcher bei HTTP-Status 401 gegen einen authentifizierten Endpunkt automatisch den Token-Tausch durchführt.
Benutzername und Passwort
Die Anmeldung über Benutzername und Passwort entspricht dem Standard. In diesem Fall muss der Endpunkt
GET /storefront/user/actions/login
mit dem Authorization-Header und dem Origin-Header aufgerufen werden. Der Authorization-Header wird in der Form Benutzername:Passwort Base64-codiert an den Server gesendet. Als Origin muss die Domain des Portals mitgegeben werden. Diese findet sich in der Portalverwaltung unter Einrichtung>Domain. Dabei macht es keinen Unterschied, ob eine generierte Domain oder eine eigene Domain angegeben wird.
Zurück kommt der Refesh-Token, der über den oben genannten Endpunkt in einen Access-Token, und einen neuen Refresh-Token eingetauscht werden kann. Mit dem Access-Token als Bearer können die authentifizierten Endpunkte abgefragt werden.