Documentation Index
Fetch the complete documentation index at: https://dokumentation.websale.de/llms.txt
Use this file to discover all available pages before exploring further.
Der Knoten security bündelt alle sicherheitsrelevanten Einstellungen des Shops. Bot-Schutz, Hash- und Verschlüsselungsmethoden und die Verwaltung von Schlüsseln/Secrets.
security* - Grundstruktur
Nachfolgend der Grundaufbau des Knotens security:
{
"security": {
"friendlyCaptchaV1": {},
"recaptchav3": {},
"method": {}
}
}
| Parameter | Beschreibung |
|---|
friendlyCaptchaV1 | Bindet FriendlyCaptcha in den Shop ein. |
recaptchav3 | Bindet Google reCAPTCHA in den Shop ein. |
method | Definiert, wie sensible Daten verarbeitet werden. |
security.friendlyCaptchaV1 - Bot-Schutz mit FriendlyCaptcha
Der Knoten security.friendlyCaptchaV1 bindet Friendly Captcha in die Storefront ein, um Spam zu verhindern und Bots zu erkennen.
Beispielkonfiguration
{
"name": "friendlyCaptchaV1",
"apiKey": "",
"siteKey": "",
"verifyUrl": "https://eu-api.friendlycaptcha.eu/api/v1/siteverify",
"apiUrl": "https://eu-api.friendlycaptcha.eu/api/v1/puzzle"
}
| Parameter | Typ | Beschreibung |
|---|
name | string | Frei wählbarer, interner Konfigurationsname. |
apiKey | string | Geheimer Server-Schlüssel für die Verifizierung bei FriendlyCaptcha. |
siteKey | string | Öffentlicher Schlüssel für die Einbindung von FriendlyCaptcha. |
verifyUrl | string | Endpunkt zur Server-Identifikation von FriendlyCaptcha. Default: https://eu-api.friendlycaptcha.eu/api/v1/siteverify |
apiUrl | string | Endpunkt zum Laden des “Puzzles”, die der Browser automatisch löst, um zu bestätigen, dass es sich nicht um einen Bot handelt. Default: https://eu-api.friendlycaptcha.eu/api/v1/puzzle |
security.method - Sensible Daten verschlüsseln
Der Knoten security.methoddefiniert, wie sensible Daten verarbeitet werden (Hashing, verschlüsseltes Speichern).
Beispielkonfiguration
{
"encrypt": [
{
"id": "token_v1",
"secret": "ABC123"
}
],
"hash": [
{
"id": "password_v1",
"salt": "shop-wide-salt-a9c3f1",
"pepper": "env:SECURITY_PEPPER"
}
]
}
| Parameter | Typ | Beschreibung |
|---|
hash | list (object) | Liste konfigurierter Hash-Verfahren für Einweg-Hashing (z.B. Passwörter). |
id | string | Technischer Name des Hash-Verfahrens, frei wählbar. (z.B. password_v1) |
salt | string | Ein zusätzlicher, zufälliger Wert, der vor dem Hashen an die Daten angehängt wird. |
pepper | string | Ein geheimer Zusatzwert, der zusätlich zum salt vor dem Hashen verwendet wird. |
encrypt | list (object) | Liste konfigurierter Verschlüsselungsverfahren für reversible Daten (z.B. Tokens, sensible Felder). |
id | string | Technischer Name des Verschlüsselungsverfahrens, frei wählbar. (z.B. token_v1) |
secret | string | Geheimer Schlüssel für die Datenverschlüsselung. |
security.recaptchav3 - Bot-Schutz mit Google reCAPTCHA
Der Knoten security.recaptchav3 bindet Friendly Captcha in die Storefront ein, um Spam zu verhindern und Bots zu erkennen.
Beispielkonfiguration
{
"minimumScore": 0.5,
"name": "recaptchav3",
"secretKey": "",
"verifyUrl": "https://www.google.com/recaptcha/api/siteverify"
}
| Parameter | Typ | Beschreibung |
|---|
name | string | Frei wählbare Kennung der Konfiguration. (z.B. Einsatzortbezogen wie “recaptcha_checkout”) |
minimumScore | float | Schwellwert für die Bewertung (0.0 - 1.0). Requests mit Score unter diesem Wert gelten als verdächtig. Liegt der Score unter dem angegebenen Wert, wird die Anfrage als verdächtig behandelt. Normalerweise wir dein Wert zwischen 0.3 (großzügigere Bewertung) bis 0.7 (strengere Bewertung) genommen. Mehr Informationen: https://developers.google.com/recaptcha/docs/v3?hl=de#interpreting_the_score |
secretKey | string | Serverseitiger Geheimschlüssel von Google reCAPTCHA. |
verifyUrl | string | Endpunkt zur Token-Prüfung. In der Regel wird hier https://www.google.com/recaptcha/api/siteverify verwendet. |
security.actionGuard - Captcha-Schutz für Aktionen
Der Knoten actionGuard ermöglicht es, einzelne Aktionen mit einem Captcha zu schützen. Wird eine Aktion auf diese Weise konfiguriert, prüft das System bei jeder Ausführung, ob das Frontend einen gültigen Captcha-Token mitgeschickt hat. Wird die Aktion jedoch als Opt-In (z.B. über einen Bestätigungslink in einer Mail) ausgeführt, entfällt diese Prüfung.
Beispielkonfiguration
actionName: Login
captcha:
service: captchaCheck.friendlyCaptchaV1
| Parameter | Typ | Beschreibung |
|---|
actionName | string | Name der Action, die durch den Captcha-Check geschützt werden soll. (z.B. Login) |
captcha | singleService (optional) | Referenz auf den zu verwendeten Captcha-Dienst. captchaCheck ist ein fest implementierter Service, der auf einen der konfigurierten Captcha-Dienste verweist - also entweder captchaCheck.friendlyCaptchaV1 oder captchaCheck.recaptchav3. |
