SP-API Redirect URI

Endpoint pubblico /sp-api/auth/.

Questa pagina evita 404 sulla Redirect URI e documenta il comportamento richiesto. In produzione lo scambio token deve avvenire server-side.

Stato callback

Nessun parametro OAuth ricevuto. La pagina è raggiungibile pubblicamente per verifica e registrazione della Redirect URI.

Controlli richiesti lato server

1

Validare state

Il valore ricevuto deve combaciare con quello memorizzato in sessione protetta.

2

Scambio codice

Il parametro spapi_oauth_code deve essere scambiato entro pochi minuti tramite POST a LWA.

3

Storage token

Il refresh token deve essere cifrato a riposo, isolato logicamente e mai esposto nei log.