Авторизация при интеграции по API

Материал из Касса
Перейти к навигации Перейти к поиску

API (Application Programming Interface или интерфейс программирования приложений) — это совокупность инструментов и функций в виде интерфейса для создания новых приложений, благодаря которому одна программа будет взаимодействовать с другой.


Для работы с API сервиса БИФИТ Касса, пользователю необходимо получить токен доступа. Генерация токена происходит по правилам авторизации Oauth2.


Токены предоставляют собой средство авторизации для каждого запроса от клиента к серверу. Токены (и соответственно сигнатура токена) генерируются на сервере основываясь на секретном ключе(который хранится на сервере) и payload'e. Токен в итоге хранится на клиенте и используется при необходимости авторизации какого-либо запроса.


Open ID Connect Provider — важнейший объект всей конструкции централизованного сервиса аутентификации, он также может называться Security Token Service, Identity Provider authorization server и т. д. Различные источники называют его по-разному, но по смыслу это сервис, который выдает токены клиентам.


Основные функции:

  • Аутентифицировать пользователей, используя внутреннее хранилище пользователей или внешний источник (например, Active Directory)
  • Управлять клиентами (хранить) и аутентифицировать их
  • Предоставлять управление сессией и возможность реализации Single sing-on
  • Выдавать identity-токены и access-токены клиентам
  • Проверять ранее выданные токены


Identity Token — подтверждение аутентификации. Этот токен содержит минимальный набор информации о пользователе.


Access Token — информация, что конкретному пользователю разрешается делать. Клиент запрашивает Access Token и затем использует его для доступа к ресурсам (Web APIs). Access Token содержит информацию о клиенте и пользователе, если она присутствует. Важно понимать, что есть такие типы авторизации, при которых пользователь в процессе непосредственно не участвует


При авторизации по api с сервисами БИФИТ, можно использовать программу Postman.


Postman — это HTTP-клиент для тестирования API. HTTP-клиенты тестируют отправку запросов с клиента на сервер и получение ответа от сервера.


Для начала необходимо получить пройти аутентификацию на сервере. Для этого необходимо получить Access Token.


Перейдите в Личный кабинет БИФИТ Бизнес и пройдите авторизацию. После прохождения авторизации в браузере нажмите кнопку F12. При нажатии на кнопку F12 перед вами откроется окно кода страницы. После этого необходимо найти в списке строчку Token и нажать на нее. В правой части экрана в разделе Request headers найдите и скопируйте Access_token.

Note.svg Важно! Access_token копируйте без слова Bearer, нужен только зашифрованный токен.


После этого перейдите в Postman. Подготовьте POST запрос следующего вида:

base URL: https://kassa.bifit.com/cashdesk-api/v1/oauth/token

body запроса должно передаваться как Content-Type: x-www-form-urlencoded и содержать следующие параметры:

"grant_type" : "password"
"username" : номер телефона (вводится как 79999999999)
"password" : вставить скопированный Access_token
"client_id" : "cashdesk-rest-client"
"client_secret" : "cashdesk-rest-client"