認証と認可
カスタム API は、カスタム スコープを 1 つだけ含むセキュリティ スキームによってセキュリティで保護する必要があります。カスタム API にアクセスするには、クライアントは必要なスコープのトークンを取得する必要があります。
エンドポイントを保護し、エンドポイントに許可された要求を行うには、次の手順を実行します。
- エンドポイントのセキュリティスキームとカスタムスコープを選択します。
- API クライアントを更新して、トークンにカスタム スコープを含めます。
エンドポイントは、API コントラクトのセキュリティスキームに関連付けられている必要があります。
ShopperToken
:買い物客 API とストアフロントのユースケース向け。買い物客ログインと API アクセスを使用してトークンを取得します。AmOAuth2
:バックオフィス アプリで使用する管理 API の場合。Account Managerを使用してトークンを取得します。
アソシエーションは操作ごとまたはグローバルのいずれかで、操作スキームが優先されます。スキームは、システム API で使用されるものと同じです。
スキームでは、カスタム範囲を 1 つだけ設定する必要があります。
契約で使用されるスキームは、次のようにセクションで定義components
する必要があります。
カスタム スコープは、次の要件を満たしている必要があります。
- 名前は で
c_
始まる必要があります。 - 名前には、英数字、ピリオド、ハイフン、アンダースコア以外の文字を含めることはできません。
- 名前は 25 文字以下にする必要があります。
正しいスキームまたはスコープの割り当てがないエンドポイントは登録されません。
登録エラーを確認するには、Log Center で「」を含むCustomApiRegistry
カテゴリのメッセージを検索します。
のShopperLogin
スコープは、SLAS 管理 UIでクライアントに割り当てることができます。例:
SLAS トークンを取得するには、買い物客ログインの概要」の手順に従います。
のAmOAuth2
カスタム範囲は、Account Managerでクライアントに割り当てることができます。例:
Account Manager トークンを取得するには、『Authorization for Admin APIs (管理 API の認証)』ガイドの手順に従います。
承認されていない要求は401 Unauthorized
応答を受け取ります。
エンドポイントの登録では、セキュリティ スキームの完全な定義は必要ありませんが、ドキュメント、テスト、コード スタブ、およびモック要求の作成を可能にする完全で有効なスキームがあると便利です。次のコードは、完全な例を示しています。