Aller au contenu

Authentification Partenaire via WebView

Cette documentation décrit le processus d’authentification entre un partenaire et la billetterie Sulf via une WebView.

Diagramme de séquence

Diagramme de séquence

1. Génération du token temporaire

Le token (montoken) est généré côté APIPartenaire et doit être associé à un compte utilisateur.

Exigences :

  • Token à usage unique.

  • Expiration courte (ex. 15 minutes) pour limiter les risques de vol.

2. Flux d’authentification

  1. L’utilisateur se connecte sur l’Application Mobile Partenaire.

  2. L’application ouvre la WebView vers Sulf avec un token temporaire :

https://sulf.fr/profile?partenaire_token=montoken

L’URL complète est générée par Sulf et sera communiquée au partenaire avec le nom du paramètre (partenaire_token)

  1. SulfSiteWeb récupère le token et effectue deux appels API vers l’APIPartenaire :

a. Récupération de l’UUID utilisateur :

GET https://api.partenaire.fr/users?token=montoken

Réponse attendue :

{
  "uuid": "123e4567-e89b-12d3-a456-426614174000"
}

b. Récupération des informations utilisateur :

GET https://api.partenaire.fr/users/:uuid

Réponse minimale attendue :

{
  "uuid": "123e4567-e89b-12d3-a456-426614174000",
  "email": "utilisateur@exemple.com",
  "nom": "Dupont",
  "prenom": "Jean"
}

Pour chaque route, il est essentiel de fournir une documentation complète des paramètres et des réponses.

  1. Sur Sulf, l’utilisateur est automatiquement identifié ou inscrit :

  2. La première fois : correspondance par email.

  3. Les connexions suivantes : correspondance par UUID stocké lors de la première connexion.

3. Sécurisation via clé API (optionnel mais recommandé)

Pour sécuriser les échanges API entre Sulf et l’APIPartenaire, une clé API peut être ajoutée dans les headers :

x-api-key: <votre_clé_api_partenaire>
  • x-api-key : authentifie le service appelant (Sulf) auprès de l’APIPartenaire.