Senden von Aufrufen als anonymer Benutzer

Sobald der Benutzer ein Konto erstellt hat, muss die aufrufende Anwendung das selbstsignierte JWT beibehalten. Die Anwendung muss dem JWT alle System-API-Aufrufe für diesen Aufruf bereitstellen. Der JWT muss im Autorisierungsheader gesendet werden, wenn Anfragen im folgenden Format an geschützte Ressourcen übermittelt werden:

Authorization: Bearer <token>

Authentifizierungsfehlermeldungen

Bei Endpunkten, die Elemente zurückgeben, wenn zwar eine bestimmte Ressource vorhanden ist, der Benutzer jedoch nicht über die erforderlichen Berechtigungen für den Zugriff darauf verfügt, gibt Cloud API die folgende Benutzernachricht aus. Es handelt sich dabei um dieselbe Nachricht, die zurückgegeben wird, wenn die Ressource nicht vorhanden ist.

"status": 404,
        "errorCode": "gw.api.rest.exceptions.NotFoundException",
        "userMessage": "No resource was found at path <path>"

Für Endpunkte, die Sammlungen zurückgeben, gibt die Cloud-API alle Ressourcen zurück, die den Kriterien entsprechen und für die der Benutzer über den ausreichenden Ressourcenzugriff verfügt. Wenn eine Ressource vorhanden ist, der Benutzer jedoch nicht über ausreichende Berechtigungen verfügt, wird sie von der Cloud-API nicht in den Ergebnissen berücksichtigt.

Diese Ansätze gelten als sicherer, da so verhindert wird, dass böswillige Aufrufer das Vorhandensein von Daten überprüfen können, auf die sie keinen Zugriff haben.