实施和设置

借助白标旅行平台，您的旅行者可以赚取忠诚度货币（无论您的计划如何定义），然后使用他们的 Rewards 兑换旅行购买。本文档概述了可用的会员计划操作，并介绍了在测试和生产环境中实施服务的流程。您可以使用的 API 将由您的合同决定，因此了解您的需求非常重要。

您的实现需要提供带有 JSON 有效负载的标准 RESTful 服务。我们建议对所有 API 请求使用访问令牌和 JSON web 令牌。调用 API 时还会涉及额外的安全步骤，请求和响应有效负载中的所有敏感数据元素都将被加密。

在设置模板网站时，您可以选择允许客户兑换他们通过所选业务线赚取的会员奖励。

此外，他们还可以联系 Expedia 品牌网站的客服来使用这些积分。我们的内部客服会使用帐户信息 API 来验证旅客信息。通过验证后，他们会利用积分银行 API 获取旅客的帐户余额并协助预订。

您的 Expedia 项目上线经理将与您合作，获取包括 SSO 设置在内的所有必要详细信息，例如：您的品牌或计划名称、计划中的所有会员等级或积分段、会员奖励名称以及兑换比例（例如，消费 $1 = 100 积分）。

我们还需要您提供：

对于在您终端的设置，我们将提供：

调用 API

Expedia 使用访问令牌调用 API。访问令牌将作为 Bearer 令牌在授权 HTTP 标头中提供。系统将生成所需的请求签名令牌，并在 Authorization2 HTTP 标头中提供。

要获取用于 API 调用的访问令牌，首先需要用 ClientId 和密钥设置授权服务器。然后使用 POST : https://<your-oauth-endpoint> 调用来提出请求。

字段	说明	示例值	字段类型	是否必填？
`content-type`	表示请求格式	application/x-www-form-urlencoded	字符串	是
`grant_type`	针对请求的授权方式，如客户端凭据	client-credentials&client_id=<client_id>&client_secret=<client_secret>	字符串	是
`client_id`	已注册的应用程序标识符	a17c21ed&		是
`client_secret`	与 `client_id` 对应的密钥			是

字段	说明	示例值	字段类型	是否必填？
`content-type`	表示响应正文格式	application/json	字符串	是
`token_type`	令牌的受众；表示提供的访问类型	Bearer		是
`access_token`	引用 `client_id` 的访问令牌			是
`expires_in`	访问令牌的过期时间，以秒为单位	86400		是

字段	说明	示例值	字段类型	是否必填？
`error`	发生错误，如参数无效	invalid_request invalid_client invalid_grant	字符串	是
`errorMessage`	用于协助日志记录和问题调查的自定义错误消息		字符串	是

我们将与您共享一个 URL，您可以从中获取 JWK 用于验证。例如：GET : https:// <WLTP_Domain>/keys/public-keys --header Authorization : Bearer - Partner_client_api_key

我们建议使用 JSON web 令牌 (JWT) 为所有 API 请求签名。请求签名的步骤如下：

我们会设置 2048 位 CA 签名的 RSA 私钥。
我们会通过 JWK URL 发布公钥证书（如上所述）。
然后，我们会创建一个包含签发者、主题、受众和过期声明的 JWT 令牌，并使用私钥为令牌签名。
Expedia JWT 令牌将包含密钥标识符 kid 和 x5t，其中包含公钥证书的指纹。
执行 API 调用时，您将从授权标头中提取 JWT，并使用 Expedia 的公钥验证 JWT 签名。您会使用 kid 标头来识别密钥（如果 Expedia 的 JWK URL 中存在多个密钥）。
接下来，您会安排一次对 Expedia 的 JWK 端点的 API 调用，以获取公钥证书。
如果签名验证失败，还可以使用重试逻辑获取新证书。