Руководство backend-разработчика
Шаг 1. Обработка токенов авторизации
На стороне бэкэнда обеспечьте надежную обработку токенов авторизации, включая своевременное обновление access-токена и refresh-токена. Токены периодически истекают, и важно поддерживать актуальность сеанса пользователя.
Полезные ссылки: Подробнее о работе токенов: токены авторизации
Шаг 2. Генерация и передача идентификатора пользователя
Организуйте генерацию уникального идентификатора пользователя (userID), необходимого для идентификации запросов на сервер ЕЛК.
Этот идентификатор создается вами и используется в коммуникациях с нашим API.
Правила ф�ормирования userID:
- Уникален для каждого пользователя;
- Генерируется и хранится на стороне партнера.
Шаг 3. Прокси-обработка запросов
Настройте обработку запросов, поступающих от SDK, как прокси-сервер. Основные шаги:
Последовательность действий:
-
Получение запроса от SDK. Примите HTTP-запросы от фронтальной стороны
-
Передача запроса на сервер ЕЛК. Преобразуйте полученный запрос в нужный формат и отправьте его на нашу сторону
-
Обработка ответа от ЕЛК. Получите ответ от нашего сервера и верните его обратно в SDK
Если ответ требует дополнительной обработки (например, изменение имени или аватара пользователя), воспользуйтесь рекомендациями из специального раздела (Изменение аватара и имени пользователя)
Пример обработки запроса и ответа
Рассмотрим простой пример того, как обрабатывать запросы от SDK и передавать их далее на сервер ЕЛК, а затем возвращать обработанные ответы назад.
SDK отправляет следующий запрос на ваш сервер который был передан в partnerProfileUrl при инициализации SDK.
| # | Имя | Тип | Обязательный | Описание | Пример |
|---|---|---|---|---|---|
| 1 | Authorization | Заголовок | Да | Токен сессии. К значению userID/sessionId (полученному при инициализации SDK) в начале добавляется «Bearer ». | Bearer DC3641EC-A0C1-F61A-B2DE-A331C0B2E20F |
| 2 | [Ключ от партнера] | Заголовок | Нет | Один или несколько ключей и их значения, полученные от партнера при инициализации в параметре headersELK. | first: oneUser-Agent: Ktor client |
| 3 | Accept | Заголовок | Да | Ожидаемый тип ответа. | application/json |
| 4 | Content-Type | Заголовок | Да | Тип передаваемых данных. | application/json |
| Параметр | Тип | Обязательный | Описание | Пример |
|---|---|---|---|---|
| url | String | Да | Адрес, который партнер должен использовать для запроса данных на сервер ЕЛК (Единой Лиги Клиентов). | https://oauth.sber.ru/api/v1/userdata?infoSource=userInfo&widgetName=listDataDefault |
Пример полного тела запроса (JSON):
{
"url": "https://oauth-ift.sber.ru/api/v1/userdata?infoSource=[Тип ресурсной системы]&widgetName=[Название шаблона]"
}
Процесс инициализации вызова ЕЛК
-
Предварительная проверка сервером партнера
- Перед инициализацией вызова сервера ЕЛК, сервер партнера проверяет активность access-токена пользователя.
- При необходимости сервер партнера осуществляет его обновление ("подогрев").
-
Условие: Отсутствие токенов
- ЕСЛИ сервер партнера не находит у себя ни активного access-токена, ни refresh-токена пользователя,
- ТО сервер партнера должен вернуть в SDK ошибку 401 Unauthorized.
Формат ответа об ошибке:
HTTP/1.1 401 Unauthorized
{
"error": "unauthorized_client"
}
3. Запрос данных для виджетов ЕЛК
- При успешной проверке токенов сервер партнера направляет запрос на сервер ЕЛК.
- Запрос выполняется на URL, полученный от SDK.
Пример запроса (cURL):
curl --request GET \
'https://oauth-ift.sber.ru/api/v1/userdata?infoSource=[Тип источника данных]&widgetName=[Название шаблона]' \
--header 'x-Introspect-RqUID: 55286baf3d4548da8d2252b2a8337f20' \
--header 'Authorization: Bearer 4cf09bfb-ce00-4847-9f24-28377692baf7'
4. Параметры запроса
| № | Имя (Name) | Расположение (In) | Описание | Обязательный |
|---|---|---|---|---|
| 1 | infoSource | query | Список источников данных. Получен от SDK. | Да |
| 2 | widgetName | query | Наименование шаблона. Получен от SDK. | Да |
| 3 | x-introspect-rquid | header | Уникальный идентификатор сообщения (maxLength=32, pattern=([0-9][a-f][A-F]){32}). Необходим для журналирования. Для генерации можно использовать UUID/GUID, удалив разделители «-». | Да |
| 4 | Authorization | header | Полученный ранее access-токен. Должен иметь префикс Bearer. Пример: Bearer DC3641EC-A0C1-F61A-B2DE-A331C0B2E20F. | Да |
Сервер партнера без дополнительной обработки на своей стороне возвращает ответ в SDK.
Пример ответов
{
"title": "Иван К",
"icon": "https://stat.online.sberbank.ru/SBERBANKID/icons/CODE16206.png",
"iconSize": "40",
"badge": "https://id.sber.ru/profile/external_partners/elk_assets/badge-gradient.png",
"initials": "ИК",
"value": "+7 900 000 00 00",
"click": {
"browserUrl": "https://id.sber.ru/profile/?utm_source=partner_profile&utm_medium=app_samokat&utm_campaign=button_nmt"
}
}
| Наименование параметра | Заголовок/Ключ | Описание | Обязательность поля |
|---|---|---|---|
| title | body | Имя пользователя | Да |
| icon | body | Ссылка на аватарку (пока не передаем) | Нет |
| iconSize | body | Размер аватарки | Нет |
| badge | body | Ссылка на иконку SberID | Да |
| initials | body | Инициалы пользователя | Нет |
| value | body | НМТ | Нет |
| click | body | Информация о переходе при нажатии на виджет | Нет |
| .browserUrl | body | Открывается ссылка в браузере устройства по url | Нет |
| .deepLinkUrl | body | Открывается ссылка в браузере устройства по диплинку | Нет |
| .nativeUrl | body | Открывается нативная шторка | Нет |
| .sso | body | Открыть с помощью 'app_token' бесшовные переход | Да |
| ..webLink | body | Ссылка на поверхность партнера | Да |
| ..openIn | body | Возможные значения: - browser - webview | Не�т |
| ..clientId | body | ID партнера на которого осуществляется переход | Нет |
{
"title": "Бонусы Спасибо",
"value": "30 000",
"titleIcon": "https://id.sber.ru/profile/external_partners/elk_assets/spasibo-gradient.png",
"click": {
"browserUrl": "samokat://?action=sber_spasibo"
}
}
| Наименование параметра | Заголовок/Поле | Описание | Обязательность поля |
|---|---|---|---|
| title | body | Текст в баннере (наименование виджета) Название подписи | Нет |
| titleicon | body | Иконка виджета | Да |
| description | body | Статус подписи если подпись активна | Нет |
| value | body | Значение бонусного баланса | Нет |
| click | body | Способ открытия при клике на виджет | Нет |
| .browserUrl | body | Открывается ссылка в браузере устройства по url | Нет |
| .deepplinkUrl | body | Открывается ссылка в браузере устройства по диплинку | Нет |
| .nativeUrl | body | Открывается нативная шторка | Нет |
| .sso | body | Открыть с помощью 'app_token' бесшовные переход | Да |
| ..webLink | body | Ссылка на поверхность партнера | Да |
| ..openIn | body | Возможные значения: - browser - webview | Нет |
| ..clientId | body | ID партнера на которого осуществляется переход | Нет |
{
"title": "СберПрайм+",
"titleIcon": "https://id.sber.ru/profile/external_partners/elk_assets/prime-gradient.png",
"description": "Активна",
"click": {
"sso": {
"webLink": "https://www.sberbank.com/sberprime/me?utm_source=elk_app&utm_medium=samokat&utm_campaign=1",
"openIn": "browser",
"clientId": "6db1c92c-ed87-4939-bc32-1f155b58e6c4"
}
}
}
| Наименование параметра | Заголовок/Поле | Описание | Обязательность поля |
|---|---|---|---|
| title | body | Текст баннера (наименование виджета) Название подписки | Да |
| titleicon | body | Иконка виджета | Да |
| description | body | Описание статуса виджета (подписи) - Активна - Подключить - Не активна - Ожидает оплаты (оранжевый цвет) | Да |
| click | body | Способ открытия при клике на виджет | Нет |
| .sso | body | Открыть с помощью 'app_token' бесшовные переход | Да |
| ..webLink | body | Ссылка на поверхность партнера | Да |
| ..openIn | body | Возможные значения: - browser - webview | Нет |
| ..clientId | body | ID партнера на которого осуществляется переход | Нет |
Таким образом, выполнение перечисленных шагов позволит эффективно организовать back-end взаимодействие с сервисом ЕЛК и м�инимизировать возможные проблемы интеграции.