帳戶資訊 API

透過旅客的帳戶資料，驗證使用您網站的旅客

「帳戶資訊 API」包含每位旅客的詳細資料。Expedia 的客服人員將利用此資訊，在旅客進行購買、兌換會員獎勵、取消訂單等操作時，核對旅客的唯一識別碼。此唯一識別碼可以是信用卡號碼 (即支付卡產業（PCI) 識別碼），或是 non-PCI 識別碼 (例如電子郵件地址或會員帳號)，具體取決於您的需求或安全標準。

請參閱以及 以獲取更多資訊。

取得帳戶資訊

您將使用 POST /user/v1/account，透過這組欄位擷取會員或持卡人的帳戶資訊。

標頭

要求

您必須將membershipId、loyaltyAccountNumber、cardNumber 或email 其中之一設為必填參數。您的客戶經理將根據您的需求，與您共同商討最適合的方案。

注意： 若您使用cardNumber 作為識別碼，還需參閱下方的cardDetails 及billingAddress 資料表。沒有其他參數需要此資料。

回應

programAccount

cardDetails

billingAddress

使用者

信用卡加密與解密

若您使用cardNumber 作為旅客識別碼進行驗證，部分資訊將需要進行加密。Expedia 要求採用安全的方式處理 PCI 資訊，並使用 industry-standard 的 JWE (JSON Web 加密) 技術來加密和解密信用卡資料：這是一種利用公鑰與私鑰對進行的非對稱加密。

加密使用案例

下列項目應進行加密：

• 要求： cardNumber
• 回覆： cardDetails

在要求參數中，您應設定一個 2048 位元的 CA (憑證授權中心) 簽署 RSA (Rivest Shamir Adleman) 私密金鑰憑證，並將其提供給 Expedia。接著，我們會透過 JWE 和 RSA，使用您的公開金鑰來加密 cardNumber 欄位。

在回應參數中，我們會設定一個 2048 位元的 CA 簽署 RSA 私密金鑰，並將對應的公開金鑰憑證提供給您。接著您便可透過 JWE 和 RSA，使用 Expedia 公開金鑰加密 cardDetails 的各項元素。

以下詳列加密流程的步驟。

加密逐步指引

**步驟 1：**擷取公開憑證，並取得 RSA 2048 公開金鑰。

1. 產生隨機對稱金鑰 (RSK)，長度為 256 位元。
2. 透過演算法 RSA-OAEP-256，使用 RSA 2048 公開金鑰加密 RSK。

**步驟 2：**產生隨機的初始向量 (IV)，長度為 96 位元。

**步驟 3：**使用 RSK、IV 和演算法 A256GCM 加密純文字資料，以形成加密文字及驗證標記資料。

**步驟 4：**以 Base64URL 對加密文字進行編碼，以產生 Base64URL (JWE 加密文字)。

**步驟 5：**以 Base64URL 對驗證標記、IV、RSK 及 JWE 標頭 JSON 進行編碼，以產生下列項目：

• 驗證標記資料：Base64URL (JWE 驗證標記)。
• IV：Base64URL (JWE 初始向量)
• RSK：Base64URL (JWE 加密後的金鑰)
• JWE 標頭 JSON：Base64URL (UTF8 (JWE 標頭))

接著將 JWE 物件序列化為精簡格式，其中包含的 Base64URL 編碼部分以句號 ('.') 分隔，藉此產生：

Base64URL (UTF8) (JWE 標頭) || '.' || Base64URL (JWE 加密後的金鑰) || '.' || Base64URL (JWE 初始向量) || '.' || Base64URL (JWE 加密文字) || '.' || Base64URL (JWE 驗證標記)

public String encryptWithJWE(String plainText){
    X509Certificate publicCertificate = <fetch public cert>
    //get RSA public key
    final X509EncodedKeySpec publicKeySpec = new 
    X509EncodedKeySpec(publicCertificate.getPublicKey().getEncoded());
    final KeyFactory keyFactory = KeyFactory.getInstance("RSA");
    RSAPublicKey rsaPublicKey = (RSAPublicKey) keyFactory.generatePublic(publicKeySpec);
    //get keyID
    String keyID = certificateManager.getKid(publicCertificate);
    // Create JWE Header containing the needed metadata for encryption and decryption
    JWEHeader jweHeader = new JWEHeader.Builder(JWEAlgorithm.RSA_OAEP_256, EncryptionMethod.A256GCM)
        .type(JOSEObjectType.JWT)
        .customParam(IAT, System.currentTimeMillis())
        .keyID(keyID)
        .build();
/*

{
"alg":"RSA-OAEP-256",
"typ":"JWT",
"enc":"A256GCM",
"iat":<Time (in UTC) when JWE was issued, expressed in UNIX epoch time (seconds since 1 January, 1970)>,
"kid":<Key ID or subject key Identifier from the public key certificate>
}
*/
    JWEObject jweObject = new JWEObject(jweHeader, new Payload(plainText));
    RSAEncrypter encrypter = new RSAEncrypter(rsaPublicKey);
    jweObject.encrypt(encrypter);
    return jweObject.serialize();
    }

解密要求中的卡號

Expedia 將在請求中對cardNumber 進行加密。解密路徑則與加密路徑相反：

1. keyId當您收到加密的 JWE 時，應解碼 JWE 的第一部分——JOSE 標頭，以確定演算法、加密方式及初始密鑰 (alg, enc, kid)。
2. 接著，您將驗證iat（issued-at:，即 JWT 簽發的時間），以確保其與當前時間的差異不超過 5 分鐘。(標記 5 分鐘後就會過期。)
3. 接下來，請擷取私密金鑰，並對 JWE 加密金鑰進行解密。
4. 接下來，您可以使用解密的 RSK、JWE 初始向量及 JWE 驗證標記，對 JWE 加密文字參數進行解密並加以驗證。

public String decryptJWE(String jweString) {
    PrivateKey privateKey = <fetch private key>;
    RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) privateKey;
    JWEObject jweObject = JWEObject.parse(jweString);
    JWEHeader jweHeader = jweObject.getHeader();validateJweHeader(jweHeader);
    RSADecrypter rsaDecrypter = new RSADecrypter(rsaPrivateKey);
    jweObject.decrypt(rsaDecrypter);
    return jweObject.getPayload().toString();
}

API 詳細資料

不含信用卡資訊

包含信用卡資訊