APIキーは、ginconnect APIにアクセスするための資格情報。APIの利用にはAPIキーの発行と、有効なサブスクリプション(active / trialing)が必要。
発行と管理
- ログイン後のダッシュボードから発行・削除・無効化ができる
- キーは
gk_プレフィックス付きの文字列で、発行時に一度だけ表示される(以後は先頭・末尾の一部のみ表示) - 設定項目:
- APIキー名(必須、50文字以内)
- 有効期限(任意)— 定期的なキー交換のため設定を強く推奨
- 許可するオリジン(任意)— ブラウザからの利用を特定ドメインに限定するための設定
発行数の上限: 旧ginconnectでは最大5個までだったが、現在は上限を設けていない。
許可するオリジン(CORS)
JavaScript / HTMLからAPIを直接呼び出す場合、不正利用防止のためオリジン制限を設定できる。
- 許可オリジンを設定したキーは、リクエストの
Originヘッダーが許可リストに含まれる場合のみ利用できる(リスト外は403) - 指定形式:
https://example.com(完全一致)または*.example.com(サブドメインのワイルドカード一致) Originヘッダーの無いリクエスト(curl等のサーバー間通信)は制限対象外。本設定はブラウザからの不正利用防止を目的とした機能であり、キー自体の秘匿の代わりにはならない
セキュリティに関する注意事項
- 流出対応: APIキーが流出した場合は即時にダッシュボードからキーを削除する
- 定期的な更新: 有効期限を設定して定期的にキーを交換することを強く推奨する。期限切れキーは全エンドポイントで
401になる - 保管: キーをソースコードやリポジトリに直接書かない。環境変数やシークレット管理を利用する
- クエリパラメータ認証:
?token=はアクセスログに残るため、Excel / Spreadsheet用途以外ではAuthorizationヘッダーを使う