認証と認可

カスタム API は、カスタム スコープを 1 つだけ含むセキュリティ スキームによってセキュリティで保護する必要があります。カスタム API にアクセスするには、クライアントは必要なスコープのトークンを取得する必要があります。

エンドポイントを保護し、エンドポイントに許可された要求を行うには、次の手順を実行します。

  1. エンドポイントのセキュリティスキームとカスタムスコープを選択します。
  2. API クライアントを更新して、トークンにカスタム スコープを含めます。

エンドポイントは、API コントラクトのセキュリティスキームに関連付けられている必要があります。

  • ShopperToken:買い物客 API とストアフロントのユースケース向け。買い物客ログインと API アクセスを使用してトークンを取得します。
  • AmOAuth2:バックオフィス アプリで使用する管理 API の場合。Account Managerを使用してトークンを取得します。

アソシエーションは操作ごとまたはグローバルのいずれかで、操作スキームが優先されます。スキームは、システム API で使用されるものと同じです。

スキームでは、カスタム範囲を 1 つだけ設定する必要があります。

契約で使用されるスキームは、次のようにセクションで定義componentsする必要があります。

カスタム スコープは、次の要件を満たしている必要があります。

  • 名前は でc_始まる必要があります。
  • 名前には、英数字、ピリオド、ハイフン、アンダースコア以外の文字を含めることはできません。
  • 名前は 25 文字以下にする必要があります。

正しいスキームまたはスコープの割り当てがないエンドポイントは登録されません。

登録エラーを確認するには、Log Center で「」を含むCustomApiRegistryカテゴリのメッセージを検索します。

ShopperLoginスコープは、SLAS 管理 UIでクライアントに割り当てることができます。例:

関連ダイアグラム

SLAS トークンを取得するには、買い物客ログインの概要」の手順に従います。

AmOAuth2カスタム範囲は、Account Managerでクライアントに割り当てることができます。例:

関連ダイアグラム

Account Manager トークンを取得するには、『Authorization for Admin APIs (管理 API の認証)』ガイドの手順に従います。

承認されていない要求は401 Unauthorized応答を受け取ります。

エンドポイントの登録では、セキュリティ スキームの完全な定義は必要ありませんが、ドキュメント、テスト、コード スタブ、およびモック要求の作成を可能にする完全で有効なスキームがあると便利です。次のコードは、完全な例を示しています。