Dúvidas Frequentes: Como funciona a renovação da autenticação dos clientes em minha loja? É possível estender esse prazo?

O objetivo desse tópico é explicar como funciona o processo de renovação da autenticação de um usuário logado em uma loja VTEX e a extensão desse prazo. Para saber mais sobre aspectos gerais do processo de autenticação recomendo a leitura da seguinte documentação: https://developers.vtex.com/docs/guides/api-authentication-using-user-tokens

Considerando o contexto de autenticação de usuários no front da loja, existem dois cookies relacionados à sessão de login na loja:

• VtexidClientAutCookie_{{account}} - sempre expira em 24 horas.
• vid_rt - o token de atualização que expira em 7 dias por padrão.

O login de sessão suporta até 30 dias em todas as nossas lojas virtuais (IO e Portal). Isso significa que um usuário que se autentica uma única vez em sua account pode ficar até 30 dias sem renovar essa autenticação e permanecer loggado.

Os cookies de credenciais do cliente são renovados periodicamente. Porém é configurável que essa renovação aconteça de 1/7/30 dias.

Para solicitar a alteração do tempo de duração da sessão é necessário abrir um ticket com o nosso suporte, no seguinte link: https://help.vtex.com/support?/cultureInfo=pt-br

Note que esse fluxo de persistência da autenticação não funciona de maneira headless, ou seja, não funcionará em fronts que não são proprietários da VTEX e/ou mobile apps.

Caso ainda tenha alguma dúvida sobre o assunto, sinta-se à vontade para perguntar por aqui! Será um prazer respondê-lo e ajudá-lo!

Boa tarde Eduardo, você conseguiria compartilhar o motivo dessa implementação não funcionar em Headless?

Não seria possivel implementar algo que seja equivalente no Headless?

Oi, @RamonRibeiro ! Boa tarde! Tudo bem?

A API e o serviço responsáveis por fazer o refresh do token dependem de algumas propriedades que estão armazenadas no contexto do session do cliente, sendo que somente os fronts nativos da VTEX, como o CMS Legacy, Store Framework e Faststore são liberados para acessar essas propriedades. Nesse sentido, qualquer front Headless, mesmo que use a API de refresh, não terá sucesso em renovar o token de autenticação depois de 24h.

A atualização desse fluxo de autenticação para que funcione no contexto headless está sendo validado por nosso time de produto e assim que tivermos qualquer evolução nesse sentido publicaremos em nossos canais oficiais.

Hoje não temos um workaround. O cliente, em um canal headless, precisará se autenticar novamente depois de 24h.

Tem alguma novidade sobre esse tópico?