Hallo, ich habe eine Frage zu der API Sicherheit. Und zwar gibt es ja den x-sw-access-key. Dieser wird mir im Backend einmalig generiert und er soll bei jedem Aufruf der APImitgeliefert werden. Kann dieser x-sw-access-key dem Client übergeben werden damit dieser direkt auf die API (mit JS) gehen kann, oder darf der nur zwischen meinem Server und dem Shopware-Server ausgetauscht werden? Wenn er dem Client mitgegeben werden kann, wie schützt man sich dann vor unberechtigten Zugriffen?
Danke und Gruss
Der x-sw-access-key ist auch für den Clienten / Storefront - Dieser hat dieser lediglich Leserechte, da es eine öffentliche API ist, mehr nicht.
https://docs.shopware.com/en/shopware-platform-dev-en/api/sales-channel-api?category=shopware-platform-dev-en/api#authentication
Authentication
The Storefront API has no authentication since it is designed to be a public API. Some user related endpoints require a logged in user.
The access key which you have generated above must always be included in your API request. The custom header sw-access-key is used for this purpose.
1 „Gefällt mir“