Loading

Nota di obsolescenza per gli endpoint /tokeninfo e /dw/oauth2 di Account Manager della piattaforma Commerce Cloud B2C

Data pubblicazione: Apr 13, 2026
Descrizione

Data di pubblicazione originale: 5 febbraio 2024 | Data ultimo aggiornamento: 25 settembre 2024 

Salesforce è consapevole del fatto che la riservatezza, l'integrità e la disponibilità dei dati dei clienti sono di fondamentale importanza per il business, pertanto prendiamo sul serio la protezione di questi dati. Questo articolo descrive due endpoint di Commerce Cloud Account Manager per i quali è stata pianificata l'obsolescenza.

Risoluzione

1. Utilizzare l'endpoint /dwsso/oauth2/introspect anziché /tokeninfo

L'endpoint /tokeninfo ( https://account.demandware.com/dwsso/oauth2/tokeninfo) di Commerce Cloud Account Manager verifica la validità del token di accesso UUID o dei metadati del token recuperati, ad esempio l'indicazione oraria di scadenza, gli ambiti e simili. Questa applicazione è possibile perché i token di accesso UUID sono una serie di numeri.

L'endpoint richiede che il token sia passato come parametro URL. Le informazioni sensibili all'interno degli URL possono essere registrate in varie posizioni, compresi il browser dell'utente, il server Web e gli eventuali server forward proxy o reverse proxy tra i due endpoint. Gli URL possono essere visualizzati anche su schermo, aggiunti ai segnalibri o inclusi nei messaggi email. Possono essere divulgati a terze parti tramite l'intestazione Referrer quando vengono seguiti link esterni al sito. L'inserimento di un token di accesso UUID nell'URL aumenta il rischio che utenti malevoli o utenti senza i necessari privilegi acquisiscano l'UUID. Questo endpoint non richiede alcuna autenticazione, quindi chiunque può utilizzarlo per ottenere informazioni su un token di accesso.

Se attualmente si sta utilizzando l'endpoint /tokeninfo, Salesforce consiglia vivamente di sostituirlo con l'endpoint /dwsso/oauth2/introspect (https://account.demandware.com/dwsso/oauth2/introspect). Questo endpoint è specificato in RFC 7662 e fornisce un'alternativa sicura. L'endpoint include il token di accesso UUID nel corpo della richiesta, che in genere non viene registrato. Inoltre, solo i client autenticati possono utilizzare questo endpoint. Come livello di sicurezza aggiuntivo, un client API può esaminare solo i propri token e non condividere informazioni esterne alle proprie organizzazioni.

 

Quando: a partire dal 1° marzo 2025, l'endpoint /tokeninfo è dichiarato obsoleto e Salesforce ne interrompe il supporto.

Esempio:

POST https://account.demandware.com/dwsso/oauth2/introspectAutorizzazione: Basic YXBpQ2xpZW50SWQ6YXBpQ2xpZW50UGFzc3dvcmQ=Content-Type: application/x-www-form-urlencodedtoken={accessToken}


Se il client API utilizza un JSON Web Token (JWT) anziché una password per l'autenticazione, la richiesta deve avere l'aspetto seguente:

POST https://account.demandware.com/dwsso/oauth2/introspectContent-Type: application/x-www-form-urlencodedclient_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&client_assertion={signedJWT}&token={accessToken}

 

2. Utilizzare l'endpoint /dwsso/oauth2 anziché /dw/oauth2


L'endpoint /dw/oauth2 (https://account.demandware.com/dw/oauth2) di Commerce Cloud Account Manager funziona solo come reindirizzamento a /dwsso/oauth2 ( https://account.demandware.com/dwsso/oauth2). Per questa ragione, Salesforce dichiara obsoleto l'endpoint /dw/oauth2.

Sono stati annunciati i piani di obsolescenza formali per l'endpoint /dw/oauth2. A questo punto, Salesforce consiglia vivamente di iniziare a utilizzare l'endpoint /dwsso/oauth2.

Nota: l'endpoint /dw/oauth2/access_token, fornito dalla piattaforma B2C Commerce, è supportato e i clienti possono continuare a utilizzarlo.

Risorse aggiuntive
Numero articolo Knowledge

000927357

 
Caricamento
Salesforce Help | Article