APIキーについて

<!-- このファイルはアプリの /docs ページでそのまま一般公開される(利用者向けコンテンツ)。実装ファイルのパス・ディレクトリ構成・issue番号などの内部情報を書かないこと。内部向けの仕様・実装メモは docs/ 配下へ。 -->

APIキーは、ginconnect APIにアクセスするための資格情報。APIの利用にはAPIキーの発行と、有効なサブスクリプション(active / trialing)が必要。

発行と管理

  • ログイン後のダッシュボードから発行・削除・無効化ができる
  • キーは gk_ プレフィックス付きの文字列で、発行時に一度だけ表示される(以後は先頭・末尾の一部のみ表示)
  • 設定項目:
    • APIキー名(必須、50文字以内)
    • 有効期限(任意)— 定期的なキー交換のため設定を強く推奨
    • 許可するオリジン(任意)— ブラウザからの利用を特定ドメインに限定するための設定

発行数の上限: 旧ginconnectでは最大5個までだったが、現在は上限を設けていない。

許可するオリジン(CORS)

JavaScript / HTMLからAPIを直接呼び出す場合、不正利用防止のためオリジン制限を設定できる。

  • 許可オリジンを設定したキーは、リクエストの Origin ヘッダーが許可リストに含まれる場合のみ利用できる(リスト外は 403
  • 指定形式: https://example.com(完全一致)または *.example.com(サブドメインのワイルドカード一致)
  • Origin ヘッダーの無いリクエスト(curl等のサーバー間通信)は制限対象外。本設定はブラウザからの不正利用防止を目的とした機能であり、キー自体の秘匿の代わりにはならない

セキュリティに関する注意事項

  • 流出対応: APIキーが流出した場合は即時にダッシュボードからキーを削除する
  • 定期的な更新: 有効期限を設定して定期的にキーを交換することを強く推奨する。期限切れキーは全エンドポイントで 401 になる
  • 保管: キーをソースコードやリポジトリに直接書かない。環境変数やシークレット管理を利用する
  • クエリパラメータ認証: ?token= はアクセスログに残るため、Excel / Spreadsheet用途以外では Authorization ヘッダーを使う

関連ドキュメント