API セキュリティ

APIセキュリティでは、セキュリティの設定ができます。

APIセキュリティの確認方法

サイドバーよりAPIセキュリティを確認したい[API]をクリックします。 そして、[セキュリティ]をクリックします。

Image (fetched from Gyazo)

セキュリティ画面が表示されます。

Image (fetched from Gyazo)

セキュリティの種類

セキュリティは下記4種類から選択できます。

Image (fetched from Gyazo)

セキュリティ説明
なしアクセス制限なし
静的アクセストークン静的生成されたトークン認証
動的アクセストークン動的生成されたトークン認証
CookieCookieによる認証

各セキュリティについて

なし

セキュリティなしの設定です。
一時的な開発用APIを作成してテストをする場合や、完全にオープンなデータのみ使用する場合などに利用します。

どのユーザからもアクセス可能であるため、基本的には他のセキュリティを選択/設定を検討してください。

静的アクセストークン

静的生成されたトークンによる認証方式を設定します。サーバ間通信する場合などに利用します。

静的トークンをリクエストヘッダに指定することで、セキュアなエンドポイントにアクセスできるようにします。

静的生成されたトークンは流出リスクがあるため、クローズドなネットワーク環境での利用が望ましいです。

「静的的アクセストークン」の場合、必須エンドポイントの作成が必要です。

必須エンドポイントカテゴリーモデルオペレーション
トークン認証Login(v1)token

トークン認証のAPIが複数設定されている場合、 各API間で認証状態は共有されず、APIごとに認証が必要です。

動的アクセストークン

動的生成されたトークンによる認証方式を設定します。ログインが必要なサイトなどに利用します。

ログイン認証リクエスト毎にワンタイムトークンを動的生成し、その値をリクエストヘッダに指定することで、セキュアなエンドポイントにアクセスできるようにします。

「動的アクセストークン」の場合は下記3項目が必要となります。

  • ユーザが1つ以上登録されている必要があります。
  • 必須エンドポイントの作成が必要です。
  • トークンのマネジメント制御をフロントエンドで実装する必要があります。
必須エンドポイントカテゴリーモデルオペレーション
ログイン認証Login(v1)login_challenge
トークン認証Login(v1)token

トークン認証のAPIが複数設定されている場合、 各API間で認証状態は共有されず、APIごとに認証が必要です。

Cookieによる認証方式を設定します。ログインが必要なサイトなどに利用します。

ログイン認証リクエスト毎にCookieを動的生成し、その値をリクエストヘッダに指定することで、セキュアなエンドポイントにもアクセスできるようにします。

「Cookie」の場合は下記2項目が必要となります。

  • ユーザが1つ以上登録されている必要があります。
  • 必須エンドポイントの作成が必要です。
必須エンドポイントカテゴリーモデルオペレーション
ログイン認証Login(v1)login_challenge

cookie認証のAPIが複数設定されている場合、各API間で認証状態が共有されます。

また、「Cookie」の場合サードパーティCookieの規制を回避するため、 フロントとKurocoのドメインを合わせる必要があります。
(ドメインを一致させファーストパーティCookieにさせる必要があります)

IPアドレス制限について

指定されたIPアドレスからのアクセスをブロックします。

Image (fetched from Gyazo)

指定方式は下記の2通りです。

  • CIDR指定(例: /24)
  • "-"による範囲指定(例: 192.0.2.1-192.0.2.2)

参考チュートリアル

セキュリティそれぞれの利用手順と確認方法は、下記を参照してください。