Auth API
Zuletzt aktualisiert: 3. Juli 2026
Die Auth API ist ein OAuth-Ablauf, der einen ServiceUser (einen regulären Endnutzer des Produkts, das ein Space betreibt) per Social Login authentifiziert. Nach der Anmeldung über den in der ServiceLogin-Konfiguration hinterlegten Anbieter (z. B. Google) stellt diese API einen accessToken und einen refreshToken aus. Der ausgestellte accessToken ist ein Bearer-Token, das ausschließlich für ACMA- und ACDA-Aufrufe verwendet wird, und kann nicht für CMA oder CDA eingesetzt werden. Kein Token überschreitet die Identitätsgrenze.
Die Basis-URL ist https://auth.weegloo.com/v1, und alle Pfade liegen unterhalb von /spaces/{spaceId}/.... Alle Anfrage- und Antwortbodys sind JSON. Für Browser-Anwendungen wird empfohlen, statt diesen Wire-Aufrufen direkt zu folgen das offizielle SDK weegloo-service-user zu verwenden. Diese Seite behandelt die HTTP-Aufrufe, die dieses SDK intern ausführt. Ziehen Sie sie heran, wenn Sie den Ablauf in Umgebungen ohne SDK (Server, Native, Skripte) selbst implementieren.
Anmeldeablauf
Die Anmeldung läuft in vier Schritten ab.
- Leiten Sie den Browser zur Anmelde-Einstiegs-URL (
/spaces/{spaceId}/login/oauth2/{provider}). Diese URL startet eine Redirect-Kette, die zum Anmeldebildschirm des Anbieters (Google) führt. - Nach abgeschlossener Anmeldung schickt Weegloo den Browser an die in ServiceLogin konfigurierte
callbackUrlzurück und hängt?exchangeToken=<einmaliges Token>an die Adresse an. - Die Callback-Seite liest den
exchangeTokenaus der Adresse, sendet ihn an den Token-Austausch-Endpunkt (POST /spaces/{spaceId}/oauth/token) und erhält als Antwort einenaccessTokenund einenrefreshToken. - Anschließend rufen Sie ACMA und ACDA mit dem
accessTokenals Bearer-Token auf. Erneuern Sie ihn vor Ablauf (expiresAt) mit demrefreshTokenund widerrufen Sie das Token beim Abmelden.
Der exchangeToken ist einmalig verwendbar. Entfernen Sie ihn unmittelbar nach der Verarbeitung des Callbacks aus der Adressleiste, um Offenlegung und Wiederverwendung zu verhindern (bei Verwendung des SDK geschieht dies automatisch).
Token-Modell
Token-Austausch und Erneuerung liefern eine Token-Antwort derselben Form zurück. Die in der Antwort enthaltenen Token-Strings und Zeitpunkte entsprechen den folgenden Beispielwerten, sind in der Realität jedoch undurchsichtige Geheim-Strings (da der Ablauf eine Anbieter-Anmeldung durchläuft, lassen sich die tatsächlichen Werte nicht unverändert übernehmen). Struktur und Felder sind anhand des Servercodes verifizierte Fakten.
{
"accessToken": "QY3xK9pR2mLs7Vc0Zt8Nf4Wd1Bj6Hg5Ua2Ee9Ck3PoZt8Nf4Wd",
"tokenType": "Bearer",
"scope": ["APP"],
"createdAt": "2026-06-18T05:00:00.000Z",
"expiresAt": "2026-06-19T05:00:00.000Z",
"refreshToken": "Rf7Hn2Qw9Zx4Tp1Lk6Vc3Bm8Yd5Gs0Ae2Uj7Co4NeLk6Vc3Bm",
"refreshExpiresAt": "2026-06-21T05:00:00.000Z"
}| Feld | Typ | Beschreibung |
|---|---|---|
accessToken | string | Bearer-Token für ACMA- und ACDA-Aufrufe. |
tokenType | string | Token-Art. Immer "Bearer". |
scope | string-Array | Berechtigungsumfang des Tokens. Ein ServiceUser-Token hat ["APP"]. |
createdAt | string (date-time) | Ausstellungszeitpunkt des Tokens. |
expiresAt | string (date-time) | Ablaufzeitpunkt des accessToken. |
refreshToken | string | Token, das zur Erneuerung des accessToken verwendet wird. |
refreshExpiresAt | string (date-time) | Ablaufzeitpunkt des refreshToken. Drei Tage nach createdAt. |
Die Lebensdauer der drei Token ist wie folgt.
- Der
exchangeTokenist einmalig verwendbar und kurzlebig. Er muss unmittelbar nach dem Callback eingetauscht werden. Er ist nicht in der Austausch-Antwort enthalten, sondern wird in Schritt 2 des Anmeldeablaufs über die Adresse übergeben. - Die Lebensdauer des
accessTokenrichtet sich nach der Serverkonfiguration; der genaue Ablaufzeitpunkt steht in der Antwort unterexpiresAt. Er ist ausschließlich für ACMA und ACDA bestimmt. - Der
refreshTokenist nach der Ausstellung drei Tage lang gültig (refreshExpiresAt). Beim Aufruf der Erneuerung wird ein neues Paar ausaccessTokenundrefreshTokenausgestellt und das vorherige Paar widerrufen (Rotation). Bei jeder Erneuerung ist der unmittelbar vorhergehenderefreshTokennicht mehr verwendbar.
API
Die Basis-URL der vier nachstehenden Endpunkte ist jeweils https://auth.weegloo.com/v1. Behandelt werden sie in der Reihenfolge: Anmelde-Einstieg (GET), Token-Austausch (POST), Token-Erneuerung (POST), Abmeldung (DELETE).
Verwandte Dokumente
- ServiceUser-Anmeldung (Konzept): Wie ServiceLogin im Content-Studio konfiguriert wird.
- ACMA: Die API, um mit dem ausgestellten Token Mitglieder-Content zu verwalten.
- ACDA: Die Lese-API, die an Mitglieder ausgeliefert wird.
