OCAPI セッションブリッジ 23.1

OCAPI とお使いのセッションベースのストアフロントとの間のシームレスな対話を実現するため、OCAPI セッションブリッジが用意されています。これにより、顧客を再認証しなくても、セッションの JWT の取得や、その逆を行うことが可能です。

通常このブリッジは次の 2 つのリソースから成り立ちます:

1. /customers/auth リソースを使用して、セッションの JWT をリクエストします。

2. /sessions リソースを使用して、JWT のセッションをリクエストします。

ゲスト または 登録済み 顧客の JWT を取得するには、有効な dwsid Cookie を /customers/auth リソースへ渡す必要があります。"type":"session" を使用する必要があります。また、グローバルセキュリティ環境設定で「HTTPS を強制する」を有効にしていない場合は、有効な dwsecuretoken をリクエストで渡す必要があります。成功の場合、Authorization:Bearer レスポンスヘッダーとして JWT を取得します。

次の例では、グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっておらず、dwsecuretoken がリクエストに含まれている場合に、このアプローチがどのように動作するかを示します。

グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっている場合、リクエストはこの例のようになり、dwsecuretoken は含まれません。

Note: セッションと JWT との間には強い結合はありません。同じセッションをもつ複数のリクエストで異なるトークンを取得します。このため、セッションあたりの呼び出しは 1 回のみにする必要があります。

詳細については、/customers/auth リソースを参照してください。

ゲスト または 登録済み 顧客のセッションを取得するには、有効な JWT を /sessions リソースへ渡す必要があります。JWT は Authorization:Bearer リクエストヘッダーとして渡す必要があります。成功の場合、セッション Cookie を取得します。

グローバルセキュリティ環境設定で「HTTPS を強制する」を有効にしていない場合は、レスポンスに dwsecuretoken のための Set-Cookie ヘッダーが含まれています。グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっているいる場合は、レスポンスに dwsecuretoken のための Set-Cookie ヘッダーは含まれていません。

次の例では、グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっておらず、dwsecuretokendwsecuretoken が Set-Cookie ヘッダーとしてレスポンスに含まれている場合にこのアプローチがどのように動作するかを示します。

グローバルセキュリティ環境設定で「HTTPS を強制する」が有効になっている場合、レスポンスはこの例のようになり、dwsecuretoken のための Set-Cookie ヘッダーは含まれません。

Note: セッションと JWT との間には強い結合はありません。同じ JWT をもつ複数のリクエストで異なるセッションを取得します。つまり、JWT あたりの呼び出しは 1 回のみにする必要があります。

詳細については、/sessions リソースを参照してください。