Denne vejledning henvender sig til udviklere der ønsker at lave automatisk login direkte på Flexybox kunders hjemmesider.
Man kan med Flexybox API integrere Flexybox login direkte på sin egen hjemmeside.
Dette kræver en integration hvor man integrere med https://identity.flexybox.com.
Hvis man ønsker at gøre brug af Magic links kan det gøres ved at bruge endpointet:
Med dette endpoint er det muligt at logge ind som en hvilken som helst bruger så længe man har et ClientId og ClientSecret med adgang til at logge ind som brugere.
Magic links bør sendes til kunden direkte fra en login side da deres levetid pr definition bør være meget kortvarig og kun må virke en enkelt gang.
Dette er for at sikre at der ikke bliver lavet et Replay attack eller at linket kommer i de forkerte hænder.
Alternative metoder
Hvis man vurdere at adgang til data ikke er af kritisk natur kan man vælge at lave links på andre måder som kan have en mere permanent levetid.
Det kunne fx være en bekræftelse med et automatisk login til en profil side eller en specifik reservations side.
Her kan vi anbefale at man stadig begrænser levetiden men fx gør det ud fra reservations datoen (linket kunne være gyldigt op til en uge efter reservations datoen).
Man kan så nemt i sin bekræftelse tilføje et link til:
https://login.dinhjemmeside.dk/[Customer.Guid]/[Guid]
På den måde vil man have et link som har information om kunden og reservationen, med den information kan der laves et opslag fra jeres hjemmeside server til Flexybox API for at validere reservationens kunde og dato.
Hvis alt er ok kan man så bruge dette API til at logge brugeren ind:
OBS: Denne form for login vil være åben overfor Replay attacks da linket er permanent og altså kan bruges igen og igen.