API キーのセキュリティについて
読了時間:3分
Wix API キーは、ユーザーまたはアプリケーションにサイトへのアクセスを許可するために生成できるコード(文字列とも言われます)です。
API キーを使用するとアカウントのすべてのサイトデータにアクセスできるため、API キーを安全に保つ方法を理解しておくことが重要です。
この記事では、下記の項目について説明します:
API キーを管理するための本人確認
新しい API キーを生成または既存の API キーを変更する場合は、本人確認を行うよう求められます。承認されたユーザーのみにアカウントの API キーの変更を許可することで、サイトのデータを安全に保つことができます。
本人確認を行うために、アカウントに接続済みのメールアドレスに 6桁のコードが送信されます。API キーを使用してアクションを実行するには、「アカウントを認証」ポップアップにこのコードを入力する必要があります。
Wix API キーの権限について
デフォルトでは、生成した各 API キーによってアカウント内のすべてのサイトへのアクセスが許可されます。これは、API キーがアカウントレベルで生成されるためです。割り当てられた権限を選択することで、API キーが許可するアクセスレベルを制御できます。
たとえば、 Wix ストア権限を選択すると、API キーに商品、注文、通貨を含むサイトのストアデータへのアクセスのみを許可することができます。
API キーに割り当てることができる権限は 3種類あります。
権限の種類 | 説明 |
|---|---|
すべてのアクセス権 | この設定では、利用可能なすべてのアカウントレベルとサイトレベルの権限を API キーに追加できます。これにより、キーは関連するすべてのアカウントおよびサイトレベルのデータにアクセスできるようになります。 |
基本のアクセス権 | この設定では、アカウント内のすべてのサイトの ID が返されます。これはデフォルトで選択されており、選択を解除することはできません。 |
すべてのアカウントのアクセス権 | この設定では、利用可能なすべてのアカウントレベルの権限を API キーに追加できます。これにより、キーに新しい Wix アカウント作成などの権限が付与されます。 |
すべてのサイトのアクセス権 | この設定では、利用可能なすべてのサイトレベルの権限を API キーに追加できます。これにより、キーはストアデータ、サービス予約データ、イベントデータなどを管理することができます。 |
一部のサイトレベルのデータのみに対する権限を選択することもできます(例:Wix ストアのデータなど)。
通常、サイトのデータを安全に保つためには、特定の API キーに必要な権限のみを選択する必要があります。ほとんどの権限では、サイトのデータへの読み取りと書き込みアクセス権が自動的に付与されるため、適切な権限のみを割り当てることで、サイトデータへの必要以上のアクセスを防ぐことができます。
API キーが侵害された場合のアクション
生成した各 Wix API キーは、アカウント内のすべてのサイトにアクセスすることができます。ですので、Wix API キーは必ず信頼できる人にのみ共有するようにしてください。
他のユーザーが Wix API キーに不正にアクセスした疑いがある場合は、すぐにアクションを起こしてください。API キーをローテーションして、キーの新しいトークンを作成することをおすすめします。以前にサイトデータにアクセスできたすべての API から、すぐに権限が取り消されます。
キーに不正アクセスがあったかどうかがわからない場合は、キーを複製すると良いでしょう。API コールに新しいトークンを追加し、トークンを必要とするチームメンバーに新しいトークンを共有してから、古い API キーを削除します。この操作を行うことで、キーを使用する API のサービスが中断されることを避けることができます。
重要:
- 以前に API キーにアクセスできたユーザーまたはアプリケーションは、キーをローテーションまたは削除するとサイトデータにアクセスできなくなります。
- ローテーションまたは削除した後、以前の API キーを復元することはできません。
Wix API キーに関する詳しい情報:
お役に立ちましたか?
|