このトピックでは、簡易認証 (AppCode) 、ダイジェスト認証、JSON Webトークン (JWT) ベースの認証など、API GatewayでサポートされているAPI認証方法について説明します。 このトピックでは、API呼び出しのセキュリティと柔軟性を確保するために承認を管理する方法についても説明します。
簡易認証モードでのAPIの呼び出し
API Gatewayは、クライアント要求に対してAppCodeベースのシンプルな認証方法を提供します。 具体的には:
注意事項: クライアントとAPI Gateway間でHTTPS通信が使用されていることを確認してください。 HTTP経由でデータを送信しないでください。
簡易認証モードでAPIを呼び出す手順。
ダイジェスト認証を使用してAPIを呼び出す
ダイジェスト認証方法 (AppKeyとAppSecret) を使用する公開APIを呼び出すには、クライアントは署名キーペアを使用して要求されたコンテンツの署名を計算し、署名をサーバー側に送信して検証する必要があります。 具体的には:
ダイジェスト認証方法の概要。
クライアントから受信したリクエストの有効性をチェックして、承認されたAppKeyに基づいて生成された正しい署名がリクエストに含まれていることを確認します。
送信中にリクエストが改ざんされるのを防ぎます。
SDKを使用してAPI呼び出しを行う手順。 詳細については、「SDKを使用したAPIの呼び出し」をご参照ください。
ダイジェスト認証方法の動作原理。
API呼び出し元がクライアント上のリクエストの署名を自分で計算する場合は、この認証方法を使用できます。
JWTベースの認証
API Gatewayは、JWTに基づいてAPIへのアクセスを許可するためのメカニズムを提供します。 このメカニズムを使用して、セキュリティ設定をカスタマイズできます。 具体的には:
JWT認証プラグインを使用して認証を実装するAPI Gatewayのワークフロー。
JWT
はじめに。
承認スコープと有効期間。
JWT特性。
JWT認証プラグインを使用してAPIを保護する方法。
トークンを発行するサンプルコード。
エラーコード
権限の管理
承認とは、アプリケーションとAPIの間の承認関係を指します。 許可されたアプリケーションのみが対応するAPIを呼び出すことができます。 具体的には:
アプリケーション: アプリケーションは、APIを呼び出すために使用されるIDです。
承認: アプリケーションを使用してAPIを呼び出す前に承認する必要があります。