X-Scalev-Storefront-Api-Keymengidentifikasi store dan mengizinkan route public storefront anonim.X-Scalev-Guest-Tokenmempertahankan guest cart yang sama setelah reload halaman.Authorization: Bearer <customer_access_token>mengautentikasi customer yang sudah login pada/customers/me/*.
Storefront API key
Storefront API key yang valid hanya membuka akses runtime saat bisnis memiliki paket aktif Basic, Pro, atau Ultimate. Bisnis Free, Lite, tidak aktif, atau belum dibayar tetap bisa mengatur key dan allowed origin, tetapi panggilan Storefront API public akan mengembalikan responseStore not found yang sama seperti store tidak ditemukan atau key tidak valid.
Route public storefront memerlukan:
Guest cart token
Route guest cart mengembalikan dan menerima:GET /public/cart atau POST /public/cart/items tanpa guest token, lalu baca X-Scalev-Guest-Token dari response header.
X-Scalev-Guest-Token; X-Guest-Token bukan bagian dari kontrak Storefront API v3.
Model auth customer
Auth customer anonim dimulai dari:X-Scalev-Storefront-Api-Key karena browser belum login.
Setelah login, route akun memakai customer JWT:
gross_revenue, destination address, shipment, data customer, dan order line. Route ini tidak mengembalikan analytics bisnis, net revenue, platform fee, provider internals, riwayat CRM, data affiliate, atau raw metadata. Response juga mempertahankan field yang dipakai Portal customer Scalev, termasuk store.name, store.logo, store.unique_id, flag tampilan store, payment_accounts store untuk instruksi manual bank transfer, final_variants, status_history, dan total tampilan dropshipper.
Access token dan refresh token customer adalah credential yang disimpan di browser. Gunakan Content Security Policy yang ketat, hindari script pihak ketiga yang tidak dipercaya, jaga dependency tetap terbaru, dan sanitasi HTML dari customer atau merchant sebelum dirender di storefront.
Sign in
Mulai sign-in dengan:200 dengan token customer:
200 dengan message. Tampilkan input one-time code lalu panggil:
Refresh token dan logout
Refresh session customer dengan:refresh baru dari response dan buang token lama. Jika refresh token yang sudah dirotasi dipakai ulang, seluruh token family dicabut dan customer harus sign in ulang.
Revoke token dengan:
204 dengan body kosong.
Reset password
Request email reset password dengan:Origin yang sudah tervalidasi jika request berasal dari allowed origin Storefront API. Request tanpa header Origin fallback ke custom domain Storefront bawaan dan tetap memakai path /reset-password?token=....
Simpan password baru dengan:
Rate limit
Route public Storefront API terkena rate limit sebagai request browser/client langsung, termasuk request yang mengirimX-Scalev-Storefront-Api-Key atau X-Scalev-Guest-Token. Request ini tidak memakai bucket rate limit machine API key atau OAuth app.
