Dokumentation für Lieferanten (deutsch)
      Zurück zur Startseite
      1. HB Marketplace GmbH
      2. Dokumentation für Lieferanten (deutsch)

      Anbindungs-Übersicht

       

      Authentication

      Customer Contract API

      Benachrichtigungen Webhooks und Emails

      Lieferanten-Checkout

       

      Authentication

      Authentication

      Die reine Integration mit dem Auth-Service sollte aus technischer Sicht innerhalb eines halben Tages umgesetzt werden können. Sollte es zu Herausforderungen kommen, stehen die Implementations-Ansprechpartner zur Verfügung. Für weitere Prozesse in den eigenen Systemen, die nach der Authentication angestoßen werden sollen, müssen die Schätzungen von den jeweiligen System-Zuständigen bei den Partnern direkt befragt werden.

      Anforderungen an den Lieferanten

      Für die Anbindung werden unterschiedliche URLs vom Lieferanten benötigt, um die User, die sich dort einloggen vor Datenmissbrauch zu schützen:

      • Login-URL

      • Logout-URL

      • Callback-URLs (→ Redirect-URLs, auf die ein User nach erfolgreichem Login durch den Auth-Service vom Lieferanten zurückgeleitet wird.)

      • Liste von Domains und Subdomains, die der Lieferant zur Integration mit dem Auth-Service nutzt

      User-Authentifizierung

      Um den User tatsächlich einzuloggen, muss der User über diesen Flow authentifiziert werden → Authorization Code Flow .

      Damit die angefragte Autorisierung einheitlich durchgeführt werden kann, muss als Requestparameter audiencehttps://api.hb-marketplace.com/api/users angegeben werden (s.o.).

      Nach erfolgreichem Login wird der Nutzer zur angegebenen Redirect-URI umgeleitet.

      Je nach angegebenem Response-Type befindet sich im Query-Hash der URL ein oder mehrere Token des angegeben Typs. Dieser Token kann direkt für API-Calls an Auth-Service verwendet werden (Response-Type: tokenid_token) oder serverseitig gegen einen access_token für API-Calls getauscht werden (Response-Type: code).

      Für weiterführende Infos: Authentication API Explorer .

      Technische Details

      Autorisierung ohne audience gibt keinen access_token als JSON Web Token zurück (JWT), deshalb gibt es mit vielen SDKs Probleme bei der automatischen Authentifizierung und Verifizierung. Wir empfehlen, die audience immer mit anzugeben.

      Customer Contract API

      Die API ermöglicht Lieferanten, die für den spezifischen Lieferanten relevanten, aktiven Verträge für einen Kunden abzurufen. Dies kann dann sinnvoll sein, wenn die Auswertung der Benachrichtigungen Webhooks mal ausfällt.

      So lässt sich immer der aktuelle Stand abrufen, selbst wenn mal Daten verloren gegangen sind.