2. アプリケーションキー認証¶

2.1. 概要¶

アプリケーションキー認証は、アプリケーション毎に払い出される ID とキーを用いて認証を行う方式です。 ID/キーは、デベロッパーコンソール上で払い出します。

モバイルバックエンド基盤では、一部の API を除き原則すべての REST API でアプリケーションキー認証が必須となっています。

REST API におけるアプリケーションキー認証では、HTTP ヘッダにアプリケーションID/キーを指定する形で認証を行います。具体的には以下のヘッダを指定する必要があります。

注意

アプリケーションID/キーが提示されない場合、BaaSサーバは 401 Unauthorized エラーを返却します。

キーには「アプリケーションキー」と「マスターキー」の２種類があります。

通常はアプリケーションキーを使用します。アプリケーションキーはクライアントアプリケーション (Webアプリケーション(JavaScript)やネイティブアプリなど)に埋め込んで使用します。

「マスターキー」もアプリケーションキーの代わりに使用することができます。マスターキーを使用した場合は、全ての REST API において ACL 権限チェックがスキップされます。従って、ACL にかかわらずユーザログインも無しで REST API ですべての操作を行うことができます。

セキュリティ上、マスターキーは漏洩しないように管理する必要があります。従って、クライアントアプリケーションにはマスターキーは含めないようにしてください。