Passa al contenuto principale

Autenticazione

Tutti gli accessi alle API utilizzano OAuth2 client credentials.

  • Endpoint del token: https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token
  • Scope principali: sswp:process:create, sswp:process:read, sswp:process:read:all
  • Endpoint del contratto: https://test.sign.swisscom.ch/system/api-docs

Esempio di richiesta di token:

curl --request POST \
--url https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'

Utilizza il bearer token ottenuto quando chiami gli endpoint del processo.

Nota di sicurezza

L'API Explorer è pensato come strumento di test rapido per gli integratori. Se utilizzi il flusso di autenticazione integrato nel browser:

  • i tuoi client_id e client_secret vengono inseriti lato client
  • estensioni del browser, script iniettati o stato condiviso del browser possono aumentare l'esposizione
  • è accettabile per test controllati, ma non è il modello di integrazione raccomandato in produzione

Per le integrazioni in produzione, Swisscom Sign dovrebbe essere richiamato dal tuo backend in modo che le credenziali client siano gestite lato server.