OCAPI セッションブリッジ 23.1
OCAPI とお使いのセッションベースのストアフロントとの間のシームレスな対話を実現するため、OCAPI セッションブリッジが用意されています。これにより、顧客を再認証しなくても、セッションの JWT の取得や、その逆を行うことが可能です。
通常このブリッジは次の 2 つのリソースから成り立ちます:
-
/customers/auth
リソースを使用して、セッションの JWT をリクエストします。 -
/sessions
リソースを使用して、JWT のセッションをリクエストします。
ゲスト または 登録済み 顧客の JWT を取得するには、有効な dwsid Cookie を /customers/auth
リソースへ渡す必要があります。"type":"session"
を使用する必要があります。また、グローバルセキュリティ環境設定で「HTTPS を強制する」を有効にしていない場合は、有効な dwsecuretoken をリクエストで渡す必要があります。成功の場合、Authorization:Bearer レスポンスヘッダーとして JWT を取得します。
次の例では、グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっておらず、dwsecuretoken
がリクエストに含まれている場合に、このアプローチがどのように動作するかを示します。
グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっている場合、リクエストはこの例のようになり、dwsecuretoken
は含まれません。
Note: セッションと JWT との間には強い結合はありません。同じセッションをもつ複数のリクエストで異なるトークンを取得します。このため、セッションあたりの呼び出しは 1 回のみにする必要があります。
詳細については、/customers/auth リソースを参照してください。
ゲスト または 登録済み 顧客のセッションを取得するには、有効な JWT を /sessions
リソースへ渡す必要があります。JWT は Authorization:Bearer リクエストヘッダーとして渡す必要があります。成功の場合、セッション Cookie を取得します。
グローバルセキュリティ環境設定で「HTTPS を強制する」を有効にしていない場合は、レスポンスに dwsecuretoken
のための Set-Cookie ヘッダーが含まれています。グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっているいる場合は、レスポンスに dwsecuretoken のための Set-Cookie ヘッダーは含まれていません。
次の例では、グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっておらず、dwsecuretokendwsecuretoken
が Set-Cookie ヘッダーとしてレスポンスに含まれている場合にこのアプローチがどのように動作するかを示します。
グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっている場合、レスポンスはこの例のようになり、dwsecuretoken のための Set-Cookie ヘッダーは含まれません。
Note: セッションと JWT との間には強い結合はありません。同じ JWT をもつ複数のリクエストで異なるセッションを取得します。つまり、JWT あたりの呼び出しは 1 回のみにする必要があります。
詳細については、/sessions リソースを参照してください。