Autenticazione
Tutti gli accessi alle API utilizzano OAuth2 client credentials.
- Endpoint del token:
https://sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token - Scope principali:
sswp:process:create,sswp:process:read,sswp:process:read:all - Endpoint del contratto:
https://sign.swisscom.ch/system/api-docs
Esempio di richiesta di token:
curl --request POST \
--url https://sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'
Utilizza il bearer token ottenuto quando chiami gli endpoint del processo.
Nota di sicurezza
L'API Explorer è pensato come strumento di test rapido per gli integratori. Se utilizzi il flusso di autenticazione integrato nel browser:
- i tuoi
client_ideclient_secretvengono inseriti lato client - estensioni del browser, script iniettati o stato condiviso del browser possono aumentare l'esposizione
- è accettabile per test controllati, ma non è il modello di integrazione raccomandato in produzione
Per le integrazioni in produzione, Swisscom Sign dovrebbe essere richiamato dal tuo backend in modo che le credenziali client siano gestite lato server.