Delivery Access Token

Dernière mise à jour : 22 juin 2026

Le DeliveryAccessToken est un jeton en lecture seule utilisé pour lire le contenu publié depuis la CDA (diffusion publique). Le navigateur d'un site web ou d'une application appelle la CDA avec ce jeton pour récupérer le contenu publié. Lors de son émission, il est lié à un seul SpaceRole, et ce rôle définit la portée de lecture du jeton (quels Content Type peuvent être lus).

Dans la CMA, le DeliveryAccessToken est une ressource enfant du Space, et son chemin repose sur /spaces/{spaceId}/delivery-access-tokens. Comme ce jeton fonctionne en étant exposé au navigateur (le client), le rôle auquel il est lié doit impérativement être défini avec le moindre privilège (least-privilege), c'est-à-dire ne lire que les Content Type nécessaires (voir Sécurité : liaison au moindre privilège ci-dessous).

Structure de la ressource

Voici la réponse obtenue lors de la création d'un DeliveryAccessToken. L'objet sys (propriétés système) contient la valeur et la portée du jeton, et le corps comporte name et description.

{
  "sys": {
    "id": "3trmXRM3RqbgSnifyg7PUFQuOAqWOc",
    "type": "DeliveryAccessToken",
    "space": { "sys": { "id": "HnQ32YiH", "type": "Refer", "targetType": "Space" } },
    "createdBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
    "createdAt": "2026-06-18T09:24:23.156Z",
    "updatedBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
    "updatedAt": "2026-06-18T09:24:23.156Z",
    "accessToken": "DVRATbQ8mX2vK9pLs7Rf1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
    "scopes": ["DELIVERY"]
  },
  "description": "Jeton de diffusion en lecture seule pour le site public de la boutique de vêtements",
  "name": "Diffusion publique du site web"
}

Clés principales :

  • sys.id : identifiant unique du DeliveryAccessToken. Il s'insère dans le {deliveryAccessTokenId} des chemins de consultation, de modification et de suppression d'un élément unique.
  • sys.accessToken : valeur secrète du jeton utilisée pour les appels CDA. Comme la même valeur réapparaît à l'identique lors d'une consultation après émission, il faut veiller à son exposition (voir la section sécurité ci-dessous).
  • sys.scopes : portée des autorisations du jeton. Pour un DeliveryAccessToken, c'est toujours ["DELIVERY"] à l'émission.
  • name : nom du jeton défini lors de la création (par exemple : Diffusion publique du site web).
  • description : description du jeton (facultatif).

Dans l'exemple ci-dessus, accessToken est une valeur secrète, donc elle a été remplacée par une chaîne d'exemple. En réalité, il s'agit d'une chaîne longue et opaque, et la même valeur réapparaît même si on la consulte de nouveau après émission.

Propriétés système (sys)

Chaque DeliveryAccessToken place dans l'objet sys des propriétés système communes ainsi que des propriétés propres au jeton. space, createdBy et updatedBy se présentent sous la forme Refer ({ "sys": { "id", "type": "Refer", "targetType" } }).

PropriétéTypeDescription
idstringIdentifiant unique de la ressource.
typestringType de ressource. Pour un DeliveryAccessToken, c'est toujours "DeliveryAccessToken".
spaceRefer<Space>Le Space auquel ce jeton appartient.
createdByRefer<User>Utilisateur qui l'a créé.
createdAtstring (date-time)Date et heure de création.
updatedByRefer<User>Dernier utilisateur ayant effectué une modification.
updatedAtstring (date-time)Date et heure de la dernière modification.
accessTokenstringValeur secrète du jeton utilisée pour les appels CDA. Comme elle réapparaît à l'identique lors d'une consultation après émission, elle doit être manipulée de façon à ne pas être exposée à l'extérieur.
scopesstring arrayPortée des autorisations du jeton. Pour un DeliveryAccessToken, c'est toujours ["DELIVERY"].

Propriétés du corps :

PropriétéTypeDescription
namestring (1 à 64)Nom du jeton. Défini à la création.
descriptionstring (≤128)Description du jeton. Facultatif.

Sécurité : liaison au moindre privilège

Le DeliveryAccessToken est un jeton qui appelle la CDA tout en étant exposé au navigateur et aux visiteurs. Par conséquent, le SpaceRole auquel il est lié constitue directement la frontière de sécurité de ce jeton.

  • Dans le role de la requête de création, indiquez le sys.id d'un SpaceRole au moindre privilège qui ne lit que les Content Type nécessaires. Pour la diffusion publique, un rôle en lecture seule est recommandé.
  • Ne liez jamais le rôle Administrator. Comme ce jeton est exposé au client, lier un rôle assorti de privilèges d'administration ferait fuiter ces privilèges tels quels vers l'extérieur. De plus, n'utilisez pas par inadvertance le premier élément de la liste des SpaceRole : indiquez explicitement le sys.id du rôle au moindre privilège voulu.
  • accessToken est une valeur secrète qui se consulte avec la même valeur même après émission. Injectez-la de façon sécurisée dans le build du client, mais ne l'exposez pas telle quelle à l'extérieur.

(Source : règle et skill weegloo-delivery-access-token.)

API

L'URL de base de tous les points de terminaison ci-dessous est https://cma.weegloo.com/v1, et un jeton Bearer authentifiant la CMA est requis dans l'en-tête Authorization. La modification et la modification partielle d'un DeliveryAccessToken ne nécessitent pas l'en-tête X-Weegloo-Version.