Esta es una traducción que desde EGA Futura ofrecemos como cortesía a toda la Ohana y comunidad de programadores , consultores , administradores y arquitectos de Salesforce para toda Iberoamérica .
El enlace a la publicación original, lo encontrarás al final de este artículo.
…
Hoy en día, el comercio está en todas partes: los compradores no solo compran productos en sitios web de comercio electrónico tradicionales, sino que también realizan compras en teléfonos móviles, canales sociales, dispositivos inteligentes e incluso dispositivos IoT. Con el nuevo Shopper Login and API Access Service (SLAS) , Commerce Cloud está ayudando a los desarrolladores a mejorar la seguridad y la confianza en todo tipo de construcciones de comercio sin cabeza.
¿Qué es la API de inicio de sesión del comprador?
Esta API y servicio es una solución de autenticación y autorización a gran escala que brinda acceso seguro a las API de Shopper de la plataforma Commerce. Permite a los comerciantes desarrollar una funcionalidad que permite a los compradores iniciar sesión a través de la federación en un proveedor de identidad (IdP) de su elección. Es fundamental para SLAS la introducción de las API de inicio de sesión basadas en OAuth 2.0, que utilizan el refresh-token
para permitir que un comprador inicie sesión una vez y conserve el inicio de sesión hasta por 90 días.
Beneficios para los desarrolladores
- Implemente un acceso API seguro que evite las vulnerabilidades de seguridad, como el acceso a datos entre inquilinos, o evite la exposición de información semiprivada, como la disponibilidad de productos durante las ventas exageradas.
- Adopte las API de comercio con un enfoque por etapas al cambiar sin problemas entre las nuevas API de comercio de Salesforce (SCAPI) y las API de comercio abierto existentes (OCAPI) utilizando el mismo token de acceso SLAS para una aplicación sin cabeza determinada.
- Implemente un inicio de sesión seguro para el acceso a la API para todo tipo de aplicaciones autónomas (aplicaciones web de pila completa, aplicaciones web con BFF del lado del servidor (clientes privados), aplicaciones de una sola página y aplicaciones móviles/nativas (clientes públicos).
- Implemente las necesidades de autenticación específicas de la industria (finanzas, telecomunicaciones, seguros).
Beneficios para los compradores
- Inicie sesión con un proveedor de identidad de terceros (p. ej., Google, Facebook, Auth0, Ping).
- Utilice el inicio de sesión único para sitios creados con Commerce Cloud, Experience Cloud y otros productos de Salesforce.
- Obtenga una experiencia de compra más personalizada. Las respuestas de la API de SLAS incluyen identificadores únicos para invitados y usuarios registrados que se pueden usar con las API de seguimiento de actividad de Commerce Einstein.
- Permanezca conectado durante más tiempo y conserve el acceso al carrito de compras.
- Acceda a los servicios impulsados por las API para compradores de Commerce Cloud (con soporte para la API de Commerce y OCAPI).
¿Cómo funciona la API de inicio de sesión del comprador?
SLAS proporciona inicio de sesión a gran escala y acceso a la API para una amplia variedad de aplicaciones sin periféricos. Este es típicamente un proceso de tres pasos:
1) El comprador inicia sesión con un proveedor de identidad externo (Google, Auth0, etc.) o interno (sistema de comercio B2C).
2) La aplicación obtiene un token de acceso con todos los alcances de la API de Shopper.
3) La aplicación utiliza el token de acceso como clave para acceder a todas las API de B2C Commerce Shopper.
SLAS utiliza flujos de inicio de sesión basados en OAuth 2.0 estándar para diferentes tipos de aplicaciones sin interfaz. Para aplicaciones web con back-end del lado del servidor para front-end (BFF), donde puede almacenar un secreto de cliente de forma segura en un front-end, deberá implementar la client_credentials
para usuarios invitados, un flujo de código de autorización para usuarios registrados. los usuarios que se federan inician sesión en un IDP externo y el authorization_code_pkce
para iniciar la sesión de los compradores en el sistema B2C Commerce.
Para aplicaciones de una sola página (SPA) o aplicaciones móviles/nativas, deberá implementar variaciones de authorization_code_pkce
flujos de autorización_código_pkce para usuarios anónimos y conocidos. Estos flujos se detallan en la guía para desarrolladores .
Con el lanzamiento de SLAS GA en abril de 2021, hemos permitido a los desarrolladores mejorar las implementaciones de sus clientes para admitir dos categorías diferentes de aplicaciones sin periféricos:
- Aplicaciones web con backend del lado del servidor o BFF usando clientes privados
- Aplicaciones móviles/nativas o aplicaciones de una sola página que usan un cliente público. Todos los clientes que utilizarán nuestro Kit PWA utilizarán este segundo patrón.
Estos dos patrones, generalmente disponibles en la actualidad, implican la interacción del usuario al iniciar sesión. Además, hemos recibido solicitudes para habilitar un tercer patrón, que es el inicio de sesión en un sistema confiable en nombre de un comprador. Este patrón no implica que un comprador inicie sesión directamente en el sistema de comercio B2C; pero una aplicación de confianza, en nombre del comprador ya autenticado, está solicitando o actualizando la información de un usuario, como los detalles del perfil, las cestas, los pedidos, etc. Este patrón suele ser utilizado por los desarrolladores que autentican a los compradores mediante un tercero o de cosecha propia. IDP y les gustaría autenticarse con el sistema B2C Commerce como una aplicación confiable en nombre del comprador.
La aplicación de confianza puede ser interna o externa. Ejemplos de aplicaciones internas de sistemas confiables son Community Cloud o Salesforce Order Management. Las aplicaciones externas de confianza pueden ser cualquier aplicación externa que necesite interactuar con la plataforma de Commerce Cloud a escala en nombre de los compradores. Los ejemplos de una aplicación externa confiable incluyen la aplicación de impuestos Avalara que ajusta los impuestos en un carrito de compras o las aplicaciones de agregación de ventas sociales como GoDataFeed y ChannelAdvisor que insertan pedidos nuevamente en el sistema. El patrón de sistema confiable ya está disponible (vaya a Especificación API → /trusted/system/token para obtener más información).
Empezar
SLAS es un mecanismo muy poderoso para impulsar una experiencia de inicio de sesión segura para sus aplicaciones de comercio sin cabeza. Estamos trabajando para proporcionarle ejemplos prácticos en los próximos meses, para que pueda profundizar en cómo implementarlos en sus aplicaciones.
Si ya es cliente de Commerce Cloud, puede configurar SLAS para su sistema de comercio B2C hoy. Y alentamos a todos a consultar nuestra especificación de API para obtener más información sobre los diferentes puntos finales que proporciona SLAS.
Sobre el Autor
Bhagath Ganga es director de gestión de productos en Salesforce.
…
Esta es una traducción realizada por EGA Futura, y este es el link a la publicación original: https://developer.salesforce.com/blogs/2022/01/shopper-login-api-level-up-security-and-trust-in-all-headless-commerce-applications.html