Commerce Cloud B2C 플랫폼의 Account Manager에 대해 /tokeninfo 및 /dw/oauth2 끝점에 대한 사용 중단 안내

1. /tokeninfo 끝점 대신 /dwsso/oauth2/introspect 사용

Commerce Cloud Account Manager 엔드포인트 /tokeninfo ( https://account.demandware.com/dwsso/oauth2/tokeninfo)에서 UUID 액세스 토큰의 유효성 또는 만료 타임스탬프, 범위 등 검색된 토큰 메타데이터를 확인합니다. UUID 액세스 토큰은 일련의 숫자이므로 이 응용 프로그램이 가능합니다.

끝점은 토큰이 URL 매개 변수로 전달되어야 합니다. URL 내의 민감한 정보는 사용자의 브라우저, 웹 서버 및 두 끝점 사이의 정방향 또는 역방향 프록시 서버를 포함하여 여러 위치에 기록될 수 있습니다. URL은 화면에 표시되거나 북마크되거나 이메일에 포함될 수 있습니다. 오프사이트 링크를 팔로우하면 참조처 머리글을 통해 제3자에게 노출될 수 있습니다. URL에 UUID 액세스 토큰을 배치하면 공격자 또는 권한이 없는 사용자가 UUID를 캡처할 수 있는 위험이 증가합니다. 이 끝점은 인증을 필요로 하지 않으므로, 모든 사람이 액세스 토큰에 대한 정보를 가져오기 위해 이를 사용할 수 있습니다.

현재 /tokeninfo 끝점을 사용하는 경우, Salesforce는 이를 /dwsso/oauth2/introspect ( https://account.demandware.com/dwsso/oauth2/introspect) 끝점으로 바꿀 것을 강력히 권장합니다. 이 끝점은 RFC 7662에 지정되어 있으며, 안전한 대안을 제공합니다. 끝점은 일반적으로 로그되거나 기록되지 않은 요청 본문에 UUID 액세스 토큰을 포함합니다. 또한, 인증된 클라이언트만 이 끝점을 사용할 수 있습니다. 보안 수준을 강화하기 위해, API 클라이언트는 자체 토큰만 검사할 수 있으며 조직 외부에서 정보를 공유할 수 없습니다.

시기: 2025년 3월 1일부터 /tokeninfo 끝점이 사용 중지되고 Salesforce에서 끝점에 대한 지원을 중단합니다.

예:

POST https://account.demandware.com/dwsso/oauth2/introspect권한 부여: 기본 YXBpQ2xpZW50SWQ6YXBpQ2xpZW50UGFzc3dvcmQ=콘텐츠 유형: application/x-www-form-urlencodedtoken={accessToken}

API 클라이언트가 암호 대신 JSON 웹 토큰(JWT)을 사용하여 인증하는 경우, 요청은 다음과 같이 표시되어야 합니다:

POST https://account.demandware.com/dwsso/oauth2/introspect콘텐츠 유형: application/x-www-form-urlencodedclient_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&client_assertion={signedJWT}&token={accessToken}

2. /dw/oauth2 끝점 대신 /dwsso/oauth2 끝점 사용

Commerce Cloud Account Manager 엔드포인트 /dw/oauth2 (https://account.demandware.com/dw/oauth2)는 단지 /dwsso/oauth2 (https://account.demandware.com/dwsso/oauth2)(으)로 리디렉션하는 기능만 수행합니다. 따라서, Salesforce는 /dw/oauth2 끝점을 중단할 것입니다.

/dw/oauth2 끝점에 대한 정식 사용 중단 계획이 발표될 것입니다. 현재 Salesforce는 /dwsso/oauth2 끝점 사용을 시작하시기를 강력히 권장합니다.

참고: B2C Commerce 플랫폼에서 제공하는 끝점 /dw/oauth2/access_token은 지원되며, 고객은 이 끝점을 계속 사용할 수 있습니다.