/
security - Sicherheitsregeln

security - Sicherheitsregeln

Der Knoten security bündelt alle sicherheitsrelevanten Einstellungen des Shops. Bot-Schutz, Hash- und Verschlüsselungsmethoden und die Verwaltung von Schlüsseln/Secrets.

Inhaltsverzeichnis

 

1. security* - Grundstruktur

Nachfolgend der Grundaufbau des Knotens security:

{ "security": { "friendlyCaptchaV1": {}, "recaptchav3": {}, "method": {} } }


Parameterbeschreibung:

Parameter

Beschreibung

Parameter

Beschreibung

friendlyCaptchaV1

Bindet FriendlyCaptcha in den Shop ein.

recaptchav3

Bindet Google reCAPTCHA in den Shop ein.

method

Definiert, wie sensible Daten verarbeitet werden.

 

2. security.friendlyCaptchaV1 - Bot-Schutz mit FriendlyCaptcha

Der Knoten security.friendlyCaptchaV1 bindet Friendly Captcha in die Storefront ein, um Spam zu verhindern und Bots zu erkennen.

 

Beispielkonfiguration:

{ "name": "friendlyCaptchaV1", "apiKey": "", "siteKey": "", "verifyUrl": "https://eu-api.friendlycaptcha.eu/api/v1/siteverify", "apiUrl": "https://eu-api.friendlycaptcha.eu/api/v1/puzzle" }

 

Parameterübersicht:

Parameter

Typ

Beschreibung

Parameter

Typ

Beschreibung

name

string

Frei wählbarer, interner Konfigurationsname.

apiKey

string

Geheimer Server-Schlüssel für die Verifizierung bei FriendlyCaptcha.

siteKey

string

Öffentlicher Schlüssel für die Einbindung von FriendlyCaptcha.

verifyUrl

string

Endpunkt zur Server-Identifikation von FriendlyCaptcha.

Default:
https://eu-api.friendlycaptcha.eu/api/v1/siteverify

apiUrl

string

Endpunkt zum Laden des “Puzzles”, die der Browser automatisch löst, um zu bestätigen, dass es sich nicht um einen Bot handelt.

Default:
https://eu-api.friendlycaptcha.eu/api/v1/puzzle

 

3. security.method - Sensible Daten verschlüsseln

Der Knoten security.methoddefiniert, wie sensible Daten verarbeitet werden (Hashing, verschlüsseltes Speichern).

Beispielkonfiguration:

{ "encrypt": [ { "id": "token_v1", "secret": "env:ENCRYPTION_SECRET" } ], "hash": [ { "id": "password_v1", "salt": "shop-wide-salt-a9c3f1", "pepper": "env:SECURITY_PEPPER" } ] }

 

Parameterbeschreibung:

Parameter

Typ

Beschreibung

Parameter

Typ

Beschreibung

hash

list (object)

Liste konfigurierter Hash-Verfahren für Einweg-Hashing (z.B. Passwörter).

id

string

Technischer Name des Hash-Verfahrens, frei wählbar. (z.B. password_v1)

salt

string

Ein zusätzlicher, zufälliger Wert, der vor dem Hashen an die Daten angehängt wird.

pepper

string

Ein geheimer Zusatzwert, der zusätlich zum salt vor dem Hashen verwendet wird.

encrypt

list (object)

Liste konfigurierter Verschlüsselungsverfahren für reversible Daten (z.B. Tokens, sensible Felder).

id

string

Technischer Name des Verschlüsselungsverfahrens, frei wählbar. (z.B. token_v1)

secret

string

Geheimer Schlüssel für die Datenverschlüsselung.

 

4. security.recaptchav3 - Bot-Schutz mit Google reCAPTCHA

Der Knoten security.recaptchav3 bindet Friendly Captcha in die Storefront ein, um Spam zu verhindern und Bots zu erkennen.

 

Beispielkonfiguration:

{ "minimumScore": 0.5, "name": "recaptchav3", "secretKey": "", "verifyUrl": "https://www.google.com/recaptcha/api/siteverify" }

 

Parameterübersicht:

Parameter

Typ

Beschreibung

Parameter

Typ

Beschreibung

name

string

Frei wählbare Kennung der Konfiguration. (z.B. Einsatzortbezogen wie “recaptcha_checkout”)

minimumScore

float

Schwellwert für die Bewertung (0.0 - 1.0). Requests mit Score unter diesem Wert gelten als verdächtig. Liegt der Score unter dem angegebenen Wert, wird die Anfrage als verdächtig behandelt.
Normalerweise wir dein Wert zwischen 0.3 (großzügigere Bewertung) bis 0.7 (strengere Bewertung) genommen.
Mehr Informationen: https://developers.google.com/recaptcha/docs/v3?hl=de#interpreting_the_score

secretKey

string

Serverseitiger Geheimschlüssel von Google reCAPTCHA.

verifyUrl

string

Endpunkt zur Token-Prüfung.
In der Regel wird hier https://www.google.com/recaptcha/api/siteverify verwendet.

© 2025 WEBSALE AG | Impressum | Datenschutz