2. アプリケーションキー認証¶
2.1. 概要¶
アプリケーションキー認証は、アプリケーション毎に払い出される ID とキーを用いて認証を行う方式です。 ID/キーは、デベロッパーコンソール上で払い出します。
モバイルバックエンド基盤では、一部の API を除き原則すべての REST API でアプリケーションキー認証が必須となっています。
2.2. 認証方式¶
REST API におけるアプリケーションキー認証では、HTTP ヘッダにアプリケーションID/キーを指定する形で認証を行います。 具体的には以下のヘッダを指定する必要があります。
- X-Application-Id : アプリケーションID
- X-Application-Key : アプリケーションキー
注意
アプリケーションID/キーが提示されない場合、BaaSサーバは 401 Unauthorized エラーを返却します。
2.3. キーの種類¶
キーには「アプリケーションキー」と「マスターキー」の2種類があります。
通常はアプリケーションキーを使用します。アプリケーションキーはクライアントアプリケーション (Webアプリケーション(JavaScript)やネイティブアプリなど)に埋め込んで使用します。
「マスターキー」もアプリケーションキーの代わりに使用することができます。 マスターキーを使用した場合は、全ての REST API において ACL 権限チェックがスキップされます。 従って、ACL にかかわらずユーザログインも無しで REST API ですべての操作を行うことができます。
セキュリティ上、マスターキーは漏洩しないように管理する必要があります。 従って、クライアントアプリケーションにはマスターキーは含めないようにしてください。