API de información de la cuenta
Verifica a los viajeros que usan tu página web con los datos de su cuenta
La API de información de cuentas incluye datos sobre cada viajero. Un agente de Expedia lo utilizará para verificar el identificador único del viajero en caso de compras, canje de puntos de fidelidad, cancelaciones y otras operaciones. Este identificador único puede ser un número de tarjeta de crédito (un identificador de la Industria de Tarjetas de Pago, o PCI) o un identificador de « non-PCI », como una dirección de correo electrónico o un número de cuenta de fidelización, dependiendo de tus necesidades o normas de seguridad.
Echa un vistazo a y a «Datos comunes y respuestas» para obtener más información.
Obtener información de la cuenta
Utilizarás este conjunto de campos para obtener información de la cuenta de un miembro del programa de fidelidad o del titular de una tarjeta utilizando POST /user/v1/account.
Encabezado
| Campo | Descripción | Valor de muestra | Tipo de campo | ¿Obligatorio? |
|---|---|---|---|---|
partnerId | Identificador único de tu empresa, proporcionado por Expedia | TU MARCA | Cadena, máx. 20 caracteres | Sí |
Authorization | Token de acceso recibido por Expedia desde tu servidor de autorización que debe validar tu equipo | Token web JSON estándar (JWT) | Cadena, longitud JWT estándar | — |
Authorization2 | Token web JSON (JWT) enviado por Expedia; tu empresa debe validar la firma y las reclamaciones | JWT estándar | Cadena, longitud JWT estándar | — |
Solicitud
Tendrás que establecer como parámetro obligatorio uno de estos: membershipId, loyaltyAccountNumber, cardNumbero email. Tu gestor de cuenta colaborará contigo para determinar cuál es la mejor opción según tus necesidades.
Nota: Si utilizas cardNumbercomo identificador, también tendrás que revisar las tablas cardDetailsy billingAddressque aparecen a continuación. Ningún otro parámetro necesita estos datos.
| Campo | Descripción | Tipo de campo | ¿Obligatorio? |
|---|---|---|---|
requestId | Identificador único de la solicitud de transacción | Cadena | Sí |
membershipId | Identificador único del viajero | Cadena | Sí, la opción 1 |
loyaltyAccountNumber | El número de cuenta de fidelidad del viajero (también conocido como « programAccountNumber »); solo debes rellenar este campo si se necesita un identificador distinto de « membershipId » para las operaciones de fidelidad | Cadena | Sí, la opción 2 |
programId | Identificador del programa de fidelización al que está afiliado el viajero o el nombre del nivel asociado al programa de fidelización | Cadena | — |
cardNumber | Número de la tarjeta de crédito del viajero (cifrado) | Cadena | Sí, la opción 3 |
email | Dirección de correo electrónico del viajero | Cadena | Sí, la opción 4 |
Respuesta
| Campo | Descripción | Tipo de campo | ¿Obligatorio? |
|---|---|---|---|
status | Estado de la transacción (valores: Aprobado, Rechazado) | Cadena | Sí |
requestId | Identificador único de la solicitud de transacción (de la carga de solicitud) | Cadena | Sí |
programAccount | Datos de la cuenta del programa de fidelización; consulta la tabla « programAccount » para ver los campos anidados | — | |
languageId | Los idiomas en los que se podrá ver la web; echa un vistazo a la página de detalles de la configuración regional para más información | Cadena | — |
optInForMarketingEmail | Si el usuario ha dado su consentimiento para recibir correos electrónicos de marketing | Booleano | — |
channelType | Plataformas para las que está optimizado el sitio web (valores: WEB, MÓVIL, TABLET) | Cadena | — |
users | Lista de datos de usuario; consulta la tabla « users » para ver los campos anidados | — | |
cardDetails | Datos sobre la tarjeta de crédito utilizada en la transacción; consulta la tabla de cardDetailspara ver los campos anidados (si están rellenados, algunos elementos anidados deben cifrarse) | — |
programAccount
| Campo | Descripción | Valor de muestra | ¿Obligatorio? |
|---|---|---|---|
programId | Identificador del programa de fidelización al que está afiliado el viajero o el nombre del nivel asociado al programa de fidelización | Aventura Gold | Sí |
accountName | Nombre del programa (si no coincide con programId) | Aventura | — |
loyaltyAccountNumber | El número de cuenta de fidelidad del viajero (también conocido como « programAccountNumber »); solo debes rellenar este campo si se necesita un identificador distinto de « membershipId » para las operaciones de fidelidad | 1234567 | — |
lastFourDigitsOfCreditCard | Los últimos 4 dígitos de la tarjeta de crédito que usó el viajero para hacer la reserva | 0000 | — |
loyaltyConversionRatio | Ratio de cómo se convierten los puntos obtenidos en el pago (por ejemplo, 1 EUR = 1 punto) | — | |
loyaltyAccountBalance | Saldo actual de los puntos de fidelidad que has ganado como viajero | 2003 | Sí |
cardDetails
| Campo | Descripción | Tipo de campo | ¿Obligatorio? |
|---|---|---|---|
cardNumber | Número de la tarjeta de crédito del viajero (cifrado) | Cadena | Sí |
cardType | Tipo de tarjeta utilizada (cifrada) | Cadena | Sí |
expirationDate | Fecha de caducidad de la tarjeta en formato MM/AAAA (cifrada) | Cadena | Sí |
billingAddress | Dirección de facturación de la tarjeta utilizada en la transacción; consulta la tabla « billingAddress » para ver los campos anidados | — |
billingAddress
| Campo | Descripción | Tipo de campo | ¿Obligatorio? |
|---|---|---|---|
firstAddressLine | Primera línea de la dirección de facturación (cifrada) | Cadena | Sí |
secondAddressLine | Segunda línea de la dirección de facturación | Cadena | — |
thirdAddressLine | Tercera línea de la dirección de facturación | Cadena | — |
city | Ciudad de la dirección de facturación | Cadena | — |
province | Elemento «provincia o estado» de la dirección de facturación | Cadena | — |
countryCode | País de la dirección de facturación | Cadena | — |
postalCode | Código postal de la dirección de facturación (cifrado) | Cadena | Sí |
usuarios
| Campo | Descripción | Valor de muestra | ¿Obligatorio? |
|---|---|---|---|
userId | Identificador único del viajero; es el mismo que membershipId | Sí | |
name | Nombre, segundo nombre y apellido del viajero | — | — |
firstName | Nombre de pila del viajero; anidado bajo name | Bob | Sí |
middleName | El segundo nombre de Traveler; anidado bajo name | Robert | — |
lastName | Apellido del viajero; anidado bajo name | Jones | Sí |
contactInfo | Datos de contacto del viajero, como la dirección, el correo electrónico y el número de teléfono | — | — |
address | Dirección del viajero, incluyendo la calle, la ciudad, la región o provincia y el código postal; dentro de contactInfo | — | — |
streetAddress | Dirección de Traveler; anidada bajo address | 123 Main St. | — |
city | Ciudad y dirección del viajero; anidada bajo address | Boston | — |
state | Dirección postal del viajero; se encuentra dentro de address | MA | — |
country | País de la dirección postal del viajero; anidado bajo address | EE. UU. | — |
postalCode | Código postal de la dirección del viajero; anidado bajo address | 02112 | — |
taxProvince | El estado o provincia en el que el viajero pagará sus impuestos; se incluye en address | MA | — |
email | La dirección de correo electrónico del viajero; anidada bajo contactInfo | brjones@somewhere.com | — |
contactNumber | El número de teléfono del viajero; anidado bajo contactInfo | 555-555-5555 | — |
userType | Tanto si el viajero es un usuario individual (principal) como si está vinculado a una organización | — | |
dateOfBirth | Fecha de nacimiento del viajero | — |
Cifrado y descifrado de tarjetas de crédito
Si utilizas cardNumbercomo identificador del viajero para la validación, habrá que cifrar cierta información. Expedia Exige un tratamiento seguro de la información PCI mediante una técnica JWE (cifrado web JSON) de industry-standard para cifrar y descifrar los datos de las tarjetas de crédito: cifrado asimétrico con un par de claves pública y privada.
Casos prácticos de cifrado
El cifrado debe tener lugar en lo siguiente:
- Solicitud:
cardNumber - Respuesta:
cardDetails
En el parámetro de solicitud, debes establecer un certificado de clave privada RSA (Rivest Shamir Adleman) firmado por una CA (autoridad de certificación) de 2048 bits y compartirlo con Expedia. A continuación, utilizaremos tu clave pública para cifrar el campo cardNumber utilizando JWE y RSA.
En el parámetro de respuesta, configuraremos una clave privada RSA de 2048 bits firmada por la CA y compartiremos el certificado de clave pública correspondiente con el usuario y contigo. Utilizando la clave pública de Expedia, cifrarás cada elemento de cardDetails utilizando JWE y RSA.
A continuación, te indicamos los pasos del proceso de cifrado.
Cifrado paso a paso
Paso 1: busca el certificado público y obtén la clave pública RSA 2048.
- Genera una clave simétrica aleatoria (RSK) de 256 bits de longitud.
- Cifra la RSK con la clave pública RSA 2048 utilizando el algoritmo RSA-OAEP-256.
Paso 2: genera un vector de inicialización aleatorio (IV) de 96 bits de longitud.
Paso 3: cifra los datos del texto plano utilizando la RSK, el IV y el algoritmo A256GCM a partir de los datos del texto cifrado y la etiqueta de autenticación.
Paso 4: codifica con Base64URL el texto cifrado para producir Base64URL (texto cifrado JWE).
Paso 5: codifica con Base64URL la etiqueta de autenticación, IV, RSK, y el JSON de encabezado JWE para producir lo siguiente:
- Datos de la etiqueta de autenticación: Base64URL (etiqueta de autenticación JWE).
- IV: Base64URL (vector de inicialización JWE)
- RSK: Base64URL (clave cifrada JWE)
- JSON del encabezado JWE: Base64URL (UTF8 (encabezado JWE))
A continuación, serializa el objeto JWE a su formato compacto consistente en partes codificadas con Base64URL delimitadas por puntos ('.') para producir lo siguiente:
Base64URL (UTF8) (encabezado JWE) || '.' || Base64URL (clave cifrada JWE) || '.' || Base64URL (vector de inicialización JWE) || '.' || Base64URL (texto cifrado JWE) || '.' || Base64URL (etiqueta de autenticación JWE)
Descifrado del número de la tarjeta en la solicitud
Expedia cifrará « cardNumber » en la solicitud. La ruta de descifrado es el proceso inverso de la ruta de cifrado:
- Cuando recibas el JWE cifrado, debes descodificar la primera sección del JWE, la cabecera JOSE, para determinar el algoritmo, el cifrado y el «
keyId» (alg, enc, kid). - A continuación, comprobarás el «
iat» (issued-at:, la hora en que se emitió el JWT) para asegurarte de que no difiere más de 5 minutos de la hora actual. (El token caducará a los 5 minutos). - A continuación, busca tu clave privada y descifra la clave de cifrado JWE.
- Por último, utilizando la RSK descifrada, el vector de inicialización JWE y la etiqueta de autenticación JWE, puedes descifrar el parámetro de texto cifrado JWE y verificarlo.