コンテンツにスキップ

認証と認可

このページでは、DAuthでAPIキーを使用する方法について説明します。

API Keyとは

APIキーは、アプリケーションを識別する単純な文字列です。

APIキーを管理する

DAuthのWebコンソールを使用して、APIキーを管理できます。
詳しくは、WebコンソールのAPIキー管理をご参照ください。

APIキーを使用する

外部アプリケーションのリクエストヘッダーに下記を追加します。<API KEY>の箇所は、使用するAPIキーに置き換えて下さい。

X-DAUTH-API-KEY: <API KEY>

DAuthは、X-DAUTH-API-KEYのAPIキーで認証と認可を行います。

APIキーに制限を設定する

APIキーには、ネームスペース、操作権限、アクセス制限などを設定できます。

外部アプリケーションの用途に合わせて、制限付きのAPIキーを使用することで、意図しない操作・不正な操作を防ぐことができます。

  • 認可
    APIキーが使用できるDAuth APIを設定(制限)します。
    それにより、APIキーが漏洩した際のセキュリティリスクを減らします。

  • ネームスペース
    APIキーに、ネームスペースを設定できます。DAuth内のリソースにも、ネームスペースを設定できます。
    APIキーは、同じネームスペースのリソースにのみアクセスできます。

  • アクセス制限
    リクエスト元を制限できます。IPアドレスまたはHTTPリファラー情報を使用できます。
    詳細は、こちらをご参照ください。

APIキーを保護する

外部アプリケーションでAPIキーを使用する場合は、APIキーを下記を参考に安全に管理して下さい。

  • APIキーをプロクラムコードに直接埋め込まないでください。
  • アプリケーションのソースツリー内のファイルに APIキーを保存しないでください。
  • APIキーに制限を設定してください。API キーが不正使用された場合の影響を軽減できます。
  • 不要なAPIキーを削除してください。

注意

プロクラムコード、ソースツリー内にAPIキーを記述した場合、ソースを共有(GitHubに公開など)した際にAPIキーも公開されてしまいます。 対策として、APIキーを環境変数などに保存し利用する方法があります。