Avis de dépréciation des points de terminaison /tokeninfo et /dw/oauth2 pour Account Manager dans la plate-forme Commerce Cloud B2C

1. Utilisation de /dwsso/oauth2/introspect au lieu de /tokeninfo endpoint

Le point de terminaison Commerce Cloud Account Manager /tokeninfo (https://account.demandware.com/dwsso/oauth2/tokeninfo) vérifie la validité du jeton d'accès UUID ou les métadonnées récupérées du jeton, notamment l’horodatage de l’expiration, les étendues, etc. Cette application est possible, car les jetons d'accès UUID sont une série de chiffres.

Le point de terminaison exige que le jeton soit transmis en tant que paramètre URL. Les informations confidentielles dans les URL peuvent être enregistrées à divers endroits, notamment dans le navigateur de l'utilisateur, sur le serveur Web et sur tous les serveurs proxy directs ou inversés entre les deux points de terminaison. Les URL peuvent également être affichées à l'écran, ajoutées aux favoris ou incluses dans des e-mails. Elles peuvent être divulguées à des tiers via l'en-tête Referrer lorsque des liens hors site sont suivis. L'insertion d'un jeton d'accès UUID dans l'URL augmente le risque que des pirates ou des utilisateurs non privilégiés puissent capturer l’UUID. Ce point de terminaison ne nécessite aucune authentification. Ainsi, tout le monde peut l'utiliser pour recueillir des informations sur un jeton d'accès.

Si vous utilisez actuellement le point de terminaison /tokeninfo, Salesforce recommande de le remplacer par le point de terminaison /dwsso/oauth2/introspect (https://account.demandware.com/dwsso/oauth2/introspect). Ce point de terminaison est spécifié dans RFC 7662 et fournit une alternative sécurisée. Le point de terminaison inclut le jeton d'accès UUID dans le corps de la requête, qui n'est généralement pas consigné ni enregistré. De plus, seuls les clients authentifiés peuvent utiliser ce point de terminaison. Pour plus de sécurité, un client API peut examiner uniquement ses propres jetons et ne peut pas partager d’informations en dehors de vos organisations.

Quand : à compter du 1er mars 2025, le point de terminaison /tokeninfo sera déprécié et Salesforce terminera la prise en charge du point de terminaison.

Par exemple :

POST https://account.demandware.com/dwsso/oauth2/introspectAuthorization: Basic YXBpQ2xpZW50SWQ6YXBpQ2xpZW50UGFzc3dvcmQ=Content-Type: application/x-www-form-urlencodedtoken={accessToken}

Si le client API utilise un jeton Web JSON (JWT) au lieu d'un mot de passe pour s'authentifier, la requête doit se présenter comme suit :

POST https://account.demandware.com/dwsso/oauth2/introspectContent-Type: application/x-www-form-urlencodedclient_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&client_assertion={signedJWT}&token={accessToken}

2. Utilisation du point de terminaison /dwsso/oauth2 au lieu de /dw/oauth2

Le point de terminaison Commerce Cloud Account Manager /dw/oauth2 (https://account.demandware.com/dw/oauth2) fonctionne uniquement en tant que redirection vers /dwsso/oauth2 (https://account.demandware.com/dwsso/oauth2). Par conséquent, Salesforce dépréciera le point de terminaison /dw/oauth2.

Les plans officiels de dépréciation pour le point de terminaison /dw/oauth2 seront annoncés. À ce stade, Salesforce recommande vivement d’utiliser le point de terminaison /dwsso/oauth2.

Remarque : le point de terminaison /dw/oauth2/access_token fourni par la plate-forme B2C Commerce est pris en charge. Les clients peuvent continuer à l'utiliser.