Deyel implementa el estándar OAuth 2.0 para interactuar con su API Rest con un único token de acceso del tipo Bearer.
Es importante comprender los conceptos de autenticación y autorización.
La autenticación se define como el proceso mediante el cual se verifica quién se está conectando, es decir, se refiere a la identificación.
Por ejemplo, cuando un usuario inicia sesión en alguna aplicación ingresando usuario y clave, la aplicación está autenticando a dicho usuario. Es decir, la aplicación está comprobando que la contraseña ingresada coincide con la que se asoció al usuario. En tanto la contraseña coincida, el usuario puede acceder a la aplicación. Pero si no coincide, no se permite al usuario iniciar sesión porque su identificación no se pude confirmar.
Mientras que la autorización es el proceso mediante el cual se verifica a qué tiene acceso el usuario.
Por ejemplo, en una aplicación que ofrece diferentes funcionalidades para usuarios gratuitos y usuarios que pagan un cargo, los primeros están autorizados a acceder a un conjunto limitado de funcionalidades y no están autorizados a acceder a otras hasta tanto no paguen la suscripción y se conviertan en usuarios con mejores funcionalidades.
Registro de Aplicaciones Externas
En Deyel, a las aplicaciones que intentan conectarse desde un ambiente externo se las representa mediante un usuario de tipo cosa “Cliente API Rest”. Esto significa que para consumir los recursos expuestos en Deyel API Rest es necesario enviar las credenciales de dicho usuario para poder realizar la autenticación y generación del token de acceso correspondiente, que luego debe ser utilizado para el consumo de los distintos endpoints.
Para configurar un usuario tipo cosa inteligente es necesario realizar la creación del mismo desde la opción “Configuración” del menú de Deyel. Se debe definir un usuario de tipo cosa inteligente, configurando sus propiedades para indicar el nombre, el usuario, el tipo y los permisos para cada aplicación.
Se deben completar las propiedades del usuario tipo cosa inteligente con los valores sugeridos.
Nombre |
APIUSER |
Usuario |
APIUSER |
Dirección de email donde el usuario recibe la contraseña. |
|
Tipo |
Cliente API Rest |
Producto Tipo de Licencia |
CRM Participante |
Producto Tipo de Licencia |
Deyel Participante |
Aplicación Permiso |
CRM Vendedor |
Aplicación Permiso |
Deyel Usuario Final |
Endpoint de Solicitud de Token de Acceso
Para solicitar los nuevos tokens de acceso y acceder a los diferentes endpoints es necesario acceder primero al endpoint:
https://<ambiente>/oauth/token
Para solicitar el token de acceso se debe utilizar la siguiente configuración:
•Verbo POST.
•Agregar los parámetros utilizando el formato:
"application/x-www-form-urlencoded".
•Las credenciales de acceso ("client_id" y "client_secret") deben enviarse en formato “Basic xxxxxx” donde las xxxxxx representan los valores codificados en Base64.
•Los parámetros a enviar varían según el flujo de autorización, pero siempre debe enviarse el parámetro "grant_type".
Deyel dispone de un módulo OAuth 2.0 implementado internamente que sirve para realizar la autorización de usuarios y genera como resultado un token JWT utilizado para autorizar.
Expiración y Renovación de Tokens
Los token de acceso generados tienen una duración de 1 día, mientras que los refresh token tienen una duración de 14 días, al finalizar el período se le solicita al usuario identificarse nuevamente.
Información Almacenada en los Tokens
El token de acceso generado registra en el cuerpo (payload) del JWT los claims: código de usuario, unidad organizacional del usuario y permisos del usuario.
