1. Chiave publishable — identifica il negozio
- Cosa fa: dice all’API quale negozio. Come le chiavi pubbliche di Stripe, può stare nel client (web/mobile).
- Cosa NON fa: non autentica un utente e viene rifiutata su
/admin/*e/super-admin/*. Il raggio d’azione di una chiave trapelata è limitato allo storefront. - Formato:
cx_pk_<live|test>_<slug>_<random>. Usatestsolo in sviluppo. - Può avere restrizioni di origin e può essere ruotata/revocata dal gestore.
2. Sessione cliente — account dello shopper
Per le aree account (ordini, indirizzi, wishlist, abbonamenti) il cliente fa login e ottiene un token:
Registrazione/login:
POST /auth/register, POST /auth/login (con 2FA se attiva),
POST /auth/refresh, Google OAuth. Vedi la API Reference.
3. Token staff — Admin API
Gli endpoint/admin/* richiedono un account staff (JWT) con i permessi giusti
(catalog, sales, customers, content, marketing, reports, tax, users, system…).
- Il token porta il claim
tenant_id: ogni sessione è vincolata al suo negozio (isolamento multi-tenant a prova di leak). - Le mutazioni admin sono audit-loggate.
- Le chiavi publishable non danno mai accesso qui.