Wie verifziere ich bei Online-Events den Zugriff eines Ticketkäufers auf einer eigenen Landingpage?

Hinweis: Bei nachfolgenden Ausführungen handelt es sich um technische Informationen, welche für Anwender mit fortgeschrittenen Programmierkenntnissen gedacht sind. Bei Fragen, wenden Sie sich bitte support@ticketpark.ch.

Bei Online-Events, bei welchen der Gast auf eine externe URL weitergeleitet wird (z.B. auf eine Landingpage bei Ihnen), wird der Link automatisch um ein Token ergänzt. Mit diesem Token können Sie

  • Sicherstellen, dass der Zugriff über Ticketpark gekommen ist
  • Firma, Name und E-Mail-Adresse des Gasts abfragen
  • Die individuelle Ticket-ID des Gasts abfragen, um z.B. einen Login auf Ihrer Website durchzuführen.

Es wird dabei ein JWT Token verwendet. Dieses wird als Query-Parameter _tp_token an die Ziel-URL angehängt.

Beispiel-Token:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0aWNrZXRJZCI6IjkzNTVmOWZlNTBkOWRlNTEiLCJlbWFpbCI6InN1cHBvcnRAdGlja2V0cGFyay5jaCIsImZpcnN0bmFtZSI6Ik1hbnVlbCIsImxhc3RuYW1lIjoiUmVpbmhhcmQiLCJjb21wYW55IjoiVGlja2V0cGFyayBHbWJIIiwidGFyZ2V0TGluayI6Imh0dHBzOi8vcGxheWVyLnZpbWVvLmNvbS92aWRlby8yMzE3Mzc1MTkifQ.pmzSZFFxvEHod7EAXZXLp-bUwZMwckMqZV2ERjNHh6Y

Sie können das Token zum Testen auf dieser Website eingeben und werden sehen, dass es diesen Payload enthält:

{
 "ticketId": "9355f9fe50d9de51",
 "email": "support@ticketpark.ch",
 "firstname": "Manuel",
  "lastname": "Reinhard",
 "company": "Ticketpark GmbH",
 "targetLink": "https://player.vimeo.com/video/231737519"
}
Zur Überprüfung der Echtheit des Tokens verwenden Sie das Shared Secret. Jeder Veranstalter hat sein eigenes, individuelles Shared Secret. Wenden Sie sich dazu bitte an support@ticketpark.ch.

Shared Secret für obiges Beispiel:
yhIREsPQBBsDCJHs2rtRqYhSdj38MSrQE7RabQ7N0P1LfvkMEv
Beachten Sie, dass Ihr echter Event ein anderes Shared Secret haben wird.

Für die meisten Programmiersprachen stehen Dritt-Libraries zur Verfügung, welche zur Entschlüsselung und Verifizierung von JWT Tokens verwendet werden können.