Hinweis zur Abkündigung der Endpunkte /tokeninfo und /dw/oauth2 für den Account Manager der Commerce Cloud B2C-Plattform

1. Verwenden Sie den Endpunkt /dwsso/oauth2/introspect anstelle von /tokeninfo.

Der Commerce Cloud Account Manager-Endpunkt /tokeninfo (https://account.demandware.com/dwsso/oauth2/tokeninfo) überprüft die Gültigkeit des UUID-Zugriffstokens oder der abgerufenen Token-Metadaten, wie z. B. Ablaufzeitstempel, Bereiche und Ähnliches. Diese Anwendung ist möglich, da die UUID-Zugriffstokens aus einer Reihe von Zahlen bestehen.

Der Endpunkt erfordert, dass das Token als URL-Parameter übergeben wird. Sensible Informationen in URLs können an verschiedenen Orten protokolliert werden, darunter im Browser des Benutzers, auf dem Webserver und auf allen Forward- oder Reverse-Proxy-Servern zwischen den beiden Endpunkten. URLs können auch auf dem Bildschirm angezeigt, mit Lesezeichen versehen oder in E-Mails eingefügt werden. Sie können über den Referrer-Header an Dritte weitergegeben werden, wenn externen Links gefolgt wird. Durch das Einfügen eines UUID-Zugriffstokens in die URL erhöht sich das Risiko, dass Angreifer oder nicht privilegierte Benutzer die UUID erfassen können. Dieser Endpunkt erfordert keine Authentifizierung, sodass jeder ihn verwenden kann, um Informationen über ein Zugriffstoken zu erhalten.

Wenn Sie derzeit den Endpunkt /tokeninfo verwenden, empfiehlt Salesforce dringend, diesen durch den Endpunkt /dwsso/oauth2/introspect (https://account.demandware.com/dwsso/oauth2/introspect) zu ersetzen. Dieser Endpunkt ist in RFC 7662 spezifiziert und bietet eine sichere Alternative. Der Endpunkt enthält das UUID-Zugriffstoken im Anfragetext, das normalerweise nicht protokolliert oder aufgezeichnet wird. Außerdem können nur authentifizierte Clients diesen Endpunkt verwenden. Als zusätzliche Sicherheitsstufe kann ein API-Client nur seine eigenen Tokens selbst prüfen und keine Informationen außerhalb Ihrer Organisation weitergeben.

Wann: Ab dem 1. März 2025 gilt der Endpunkt /tokeninfo als veraltet und Salesforce stellt den Support für diesen Endpunkt ein.

Beispiel:

POST https://account.demandware.com/dwsso/oauth2/introspectAuthorization: Basic YXBpQ2xpZW50SWQ6YXBpQ2xpZW50UGFzc3dvcmQ=Content-Type: application/x-www-form-urlencodedtoken={accessToken}

Wenn der API-Client zur Authentifizierung ein JSON Web Token (JWT) anstelle eines Kennworts verwendet, muss die Anfrage wie folgt aussehen:

POST https://account.demandware.com/dwsso/oauth2/introspectContent-Type: application/x-www-form-urlencodedclient_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&client_assertion={signedJWT}&token={accessToken}

2. Verwenden Sie den Endpunkt /dwsso/oauth2 anstelle von /dw/oauth2.

Der Commerce Cloud Account Manager-Endpunkt /dw/oauth2 (https://account.demandware.com/dw/oauth2) fungiert nur als Weiterleitung zu /dwsso/oauth2 (https://account.demandware.com/dwsso/oauth2). Daher stuft Salesforce den Endpunkt /dw/oauth2 als veraltet ein.

Formelle Pläne zur Abkündigung des Endpunkts /dw/oauth2 werden bekannt gegeben. Salesforce empfiehlt Ihnen derzeit dringend, den Endpunkt /dwsso/oauth2 zu verwenden.

Hinweis: Der von der B2C Commerce-Plattform bereitgestellte Endpunkt /dw/oauth2/access_token wird unterstützt, und Kunden können diesen Endpunkt weiterhin verwenden.