SP-API Redirect URI
Endpoint pubblico /sp-api/auth/.
Questa pagina evita 404 sulla Redirect URI e documenta il comportamento richiesto. In produzione lo scambio token deve avvenire server-side.
Stato callback
Nessun parametro OAuth ricevuto. La pagina è raggiungibile pubblicamente per verifica e registrazione della Redirect URI.
Controlli richiesti lato server
1
Validare state
Il valore ricevuto deve combaciare con quello memorizzato in sessione protetta.
2
Scambio codice
Il parametro spapi_oauth_code deve essere scambiato entro pochi minuti tramite POST a LWA.
3
Storage token
Il refresh token deve essere cifrato a riposo, isolato logicamente e mai esposto nei log.
