Developer Hub

API de información de la cuenta

La API de información de la cuenta incluye detalles sobre cada uno de tus clientes. Tu sitio web creado con la plantilla utilizará esta información como parte del protocolo de inicio de sesión único (SSO) para verificar la cuenta del usuario. Se utilizará para compras, canjes de fidelidad y otras funciones.

Esta API también la pueden usar los agentes de Expedia para verificar el identificador único del viajero (por ejemplo, el número de la tarjeta de crédito) como parte de la solicitud para obtener los datos de la cuenta del usuario. Los datos recibidos se utilizarán para validar al viajero por teléfono antes de proceder a la compra y reserva.

Consulta la página Respuestas y tipos de datos comunes para obtener más información.

Cifrado y descifrado de tarjetas de crédito

Expedia utiliza una técnica JWE (cifrado web JSON) estándar del sector para cifrar y descifrar los datos de las tarjetas de crédito: cifrado asimétrico mediante un par de claves pública y privada.

Casos prácticos de cifrado

El cifrado debe tener lugar en lo siguiente:

  • Solicitud: cardNumber
  • Respuesta: cardDetails

En el parámetro de solicitud, debes establecer un certificado de clave privada RSA (Rivest Shamir Adleman) firmado por una CA (autoridad de certificación) de 2048 bits y compartirlo con Expedia. A continuación, utilizaremos tu clave pública para cifrar el campo cardNumber utilizando JWE y RSA.

En el parámetro de respuesta, configuraremos una clave privada RSA de 2048 bits firmada por la CA y compartiremos el certificado de clave pública correspondiente con el usuario y contigo. Utilizando la clave pública de Expedia, cifrarás cada elemento de cardDetails utilizando JWE y RSA.

A continuación, te indicamos los pasos del proceso de cifrado.

Cifrado paso a paso

Paso 1: busca el certificado público y obtén la clave pública RSA 2048.

  1. Genera una clave simétrica aleatoria (RSK) de 256 bits de longitud.
  2. Cifra la RSK con la clave pública RSA 2048 utilizando el algoritmo RSA-OAEP-256.

Paso 2: genera un vector de inicialización aleatorio (IV) de 96 bits de longitud.

Paso 3: cifra los datos del texto plano utilizando la RSK, el IV y el algoritmo A256GCM a partir de los datos del texto cifrado y la etiqueta de autenticación.

Paso 4: codifica con Base64URL el texto cifrado para producir Base64URL (texto cifrado JWE).

Paso 5: codifica con Base64URL la etiqueta de autenticación, IV, RSK, y el JSON de encabezado JWE para producir lo siguiente:

  • Datos de la etiqueta de autenticación: Base64URL (etiqueta de autenticación JWE).
  • IV: Base64URL (vector de inicialización JWE)
  • RSK: Base64URL (clave cifrada JWE)
  • JSON del encabezado JWE: Base64URL (UTF8 (encabezado JWE))

A continuación, serializa el objeto JWE a su formato compacto consistente en partes codificadas con Base64URL delimitadas por puntos ('.') para producir lo siguiente:

Base64URL (UTF8) (encabezado JWE) || '.' || Base64URL (clave cifrada JWE) || '.' || Base64URL (vector de inicialización JWE) || '.' || Base64URL (texto cifrado JWE) || '.' || Base64URL (etiqueta de autenticación JWE)

Ejemplos de código

Ejemplo de Java para cifrado

El cifrado JWE puede implementarse de forma eficaz y rápida con la ayuda de bibliotecas JWE de terceros. Por ejemplo, este código java para cifrado se creó con la ayuda de la biblioteca Nimbus JOSE+JWT .

public String encryptWithJWE(String plainText){
    X509Certificate publicCertificate = <fetch public cert>
    //get RSA public key
    final X509EncodedKeySpec publicKeySpec = new 
    X509EncodedKeySpec(publicCertificate.getPublicKey().getEncoded());
    final KeyFactory keyFactory = KeyFactory.getInstance("RSA");
    RSAPublicKey rsaPublicKey = (RSAPublicKey) keyFactory.generatePublic(publicKeySpec);
    //get keyID
    String keyID = certificateManager.getKid(publicCertificate);
    // Create JWE Header containing the needed metadata for encryption and decryption
    JWEHeader jweHeader = new JWEHeader.Builder(JWEAlgorithm.RSA_OAEP_256, EncryptionMethod.A256GCM)
        .type(JOSEObjectType.JWT)
        .customParam(IAT, System.currentTimeMillis())
        .keyID(keyID)
        .build();
/*

Ejemplo de encabezado JWE

{
"alg":"RSA-OAEP-256",
"typ":"JWT",
"enc":"A256GCM",
"iat":<Time (in UTC) when JWE was issued, expressed in UNIX epoch time (seconds since 1 January, 1970)>,
"kid":<Key ID or subject key Identifier from the public key certificate>
}
*/
    JWEObject jweObject = new JWEObject(jweHeader, new Payload(plainText));
    RSAEncrypter encrypter = new RSAEncrypter(rsaPublicKey);
    jweObject.encrypt(encrypter);
    return jweObject.serialize();
    }

Descifrado del número de la tarjeta en la solicitud

Expedia cifrará cardNumber en la solicitud. La ruta de descifrado es el proceso inverso de la ruta de cifrado:

  1. Cuando recibas el JWE cifrado, debes descodificar la primera sección del mismo, el encabezado JOSE, para determinar el algoritmo, el cifrado y el keyId (alg, enc, kid).
  2. A continuación, validarás el iat (issued-at: la hora en que se emitió el JWT) para asegurarte de que no difiere en más de 5 minutos de la hora actual. (El token caducará a los 5 minutos).
  3. A continuación, busca tu clave privada y descifra la clave de cifrado JWE.
  4. Por último, utilizando la RSK descifrada, el vector de inicialización JWE y la etiqueta de autenticación JWE, puedes descifrar el parámetro de texto cifrado JWE y verificarlo.

Ejemplo de código

Ejemplo de Java para cifrado

El cifrado JWE puede implementarse de forma eficaz y rápida con la ayuda de bibliotecas JWE de terceros. Por ejemplo, este código java para cifrado se creó con la ayuda de la biblioteca Nimbus JOSE+JWT .

public String decryptJWE(String jweString) {
    PrivateKey privateKey = <fetch private key>;
    RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) privateKey;
    JWEObject jweObject = JWEObject.parse(jweString);
    JWEHeader jweHeader = jweObject.getHeader();validateJweHeader(jweHeader);
    RSADecrypter rsaDecrypter = new RSADecrypter(rsaPrivateKey);
    jweObject.decrypt(rsaDecrypter);
    return jweObject.getPayload().toString();
}

Obtener información de la cuenta

Utilizarás este conjunto de campos para obtener información de la cuenta de un miembro del programa de fidelidad o del titular de una tarjeta utilizando POST /user/v1/account.

Encabezado

CampoDescripciónEjemplo de valorTipo de campo¿Obligatorio?
partnerIdIdentificador único de tu empresa, proporcionado por ExpediaTU MARCACadena, máx. 20 caracteres
AuthorizationToken de acceso recibido por Expedia desde tu servidor de autorización que debe validar tu equipoToken web JSON estándar (JWT)Cadena, longitud JWT estándarNo
Authorization2Token web JSON (JWT) enviado por Expedia; tu empresa debe validar la firma y las reclamacionesJWT estándarCadena, longitud JWT estándarNo

Solicitud

CampoDescripciónTipo de campo¿Obligatorio?
requestIdIdentificador único de la solicitud de transacciónCadena
membershipIdIdentificador único del clienteCadenaNo
loyaltyAccountNumberEl número de la cuenta de fidelidad del cliente (también denominado programAccountNumber); solo debería rellenarse si se requiere un identificador que no sea membershipId para operaciones de fidelidadCadenaNo
programIdIdentificador del programa de fidelidad al que está afiliado el cliente o el nombre del nivel asociado al programa de fidelidadCadenaNo
cardNumberNúmero de la tarjeta de crédito del cliente (cifrado)CadenaNo
emailDirección de correo electrónico del clienteCadenaNo

Respuesta

CampoDescripciónTipo de campo¿Obligatorio?
statusEstado de la transacción (valores: Aprobado, Rechazado)Cadena
requestIdIdentificador único de la solicitud de transacción (de la carga de solicitud)Cadena
ProgramAccountDetalles de la cuenta del programa; consulta la tabla ProgramAccount para ver los campos anidados  
languageIdLos idiomas en los que se puede ver el sitio webCadenaNo
channelTypePlataformas para las que está optimizado el sitio web (valores: WEB, MÓVIL, TABLET) No

ProgramAccount

CampoDescripciónEjemplo de valor¿Obligatorio?
programIdIdentificador del programa de fidelidad al que está afiliado el cliente o el nombre del nivel asociado al programa de fidelidadAventura Gold
accountNameNombre del programa (si no coincide con programId)AventuraNo
loyaltyAccountNumberEl número de la cuenta de fidelidad del cliente (también denominado programAccountNumber); solo debería rellenarse si se requiere un identificador que no sea membershipId para operaciones de fidelidad1234567No
lastFourDigitsOfCreditCardLos cuatro últimos dígitos de la tarjeta de crédito utilizada en la reserva0000No
loyaltyConversionRatioRatio de cómo se convierten los puntos obtenidos en el pago (por ejemplo, 1 EUR = 1 punto) No
loyaltyAccountBalanceSaldo actual de puntos de fidelidad obtenidos por el cliente2003

Información del usuario

CampoDescripciónEjemplo de valor¿Obligatorio?
userIdIdentificador único del cliente; igual que membershipId 
nameNombre, segundo nombre y apellido del cliente  
firstNameNombre del cliente; anidado bajo nameBob
middleNameSegundo nombre del cliente; anidado bajo nameRobertNo
lastNameApellido del cliente; anidado bajo nameJones
contactInfoInformación de contacto del cliente, incluida la dirección, el correo electrónico y el número de teléfono No
addressDirección del cliente, incluidos calle, ciudad, estado o provincia y código postal; anidado bajo contactInfo  
streetAddressDirección del cliente; anidado bajo address123 Main St.No
cityCiudad de la dirección del cliente; anidado bajo addressBostonNo
stateEstado de la dirección del cliente; anidado bajo addressMANo
countryPaís de la dirección del cliente; anidado bajo addressEE. UU.No
postalCodeCódigo postal de la dirección del cliente; anidado bajo address02112No
taxProvinceEl estado o la provincia en el que el cliente pagará los impuestos; anidado bajo addressMANo
emailDirección de correo electrónico del cliente; anidado bajo contactInfobrjones@somewhere.comNo
contactNumberNúmero de teléfono del cliente; anidado bajo contactInfo555-555-5555No
userTypeSi el cliente es un usuario único (principal) o está asociado a una organización No
dateOfBirthFecha de nacimiento del cliente No
cardDetailsDetalles sobre la tarjeta de crédito utilizada en la transacción; si se rellena, algunos elementos anidados deben estar cifrados No
cardNumber *Número de tarjeta de crédito utilizado en la transacción (cifrado); anidado bajo cardDetails 
cardTypeTipo de tarjeta utilizada (cifrado); anidado bajo cardDetails 
expirationDate *Fecha de caducidad de la tarjeta en formato MM/AAAA (cifrado); anidado bajo cardDetails 
billingAddressDirección de facturación de la tarjeta utilizada en la transacción; anidado bajo cardDetails  
firstAddressLine *Primera línea de la dirección de facturación (cifrado); anidado bajo billingAddress 
secondAddressLineSegunda línea de la dirección de facturación; anidado bajo billingAddress No
thirdAddressLineTercera línea de la dirección de facturación; anidado bajo billingAddress No
cityElemento de ciudad de la dirección de facturación; anidado bajo billingAddress No
provinceElemento de provincia o estado de la dirección de facturación; anidado bajo billingAddress No
countryCodeElemento de país de la dirección de facturación; anidado bajo billingAddress No
postalCode *Elemento de código postal de la dirección de facturación (cifrado); anidado bajo billingAddress 

Nota: Si se rellena alguno de los campos de cardDetails, los marcados con un * son obligatorios. Todos los datos de estos campos están cifrados.

Detalles de la API

Sin información de la tarjeta de crédito

Con información de la tarjeta de crédito

¿Te ha resultado útil esta página?
¿Cómo podemos mejorar este contenido?
�Gracias por ayudarnos a mejorar!

Declaración de privacidad Política sobre cookies Condiciones de uso

Expedia, Inc. no se responsabiliza del contenido de sitios web de terceros.
© 2024 Expedia, Inc., una empresa de Expedia Group. Todos los derechos reservados. Expedia y el logotipo del avión son marcas comerciales o marcas comerciales registradas de Expedia, Inc, n.º 2029030-50.