認証
本サービスのAPIは、認証の為に JWT(JSON Web Token) を利用しています。
ヘッダで認証を行い、ペイロード部分にリクエストを記述するのが基本的な使い方です。
アプリケーショントークンの構成
はじめに、ガイドの初期設定に従い、アプリケーショントークン(以降「アプリトークン」)を作成してください。
アプリケーショントークンは、「トークン」と「シークレット」の2部で構成されます。
シークレットは、アプリトークンを作成した時だけ表示されます。
表示されたシークレットは、くれぐれも忘れずに控えるようにしてください。
また、このシークレットは機密情報として取り扱う必要があります。
消費者のブラウザ上で実行されるようなフロントエンドアプリケーションのコードの中にシークレットを記述したり、インターネットで第三者が閲覧できる状態にしないでください。
レポートの生成、ブラウザ以外の経路での課金の作成など、サービスのバックエンドでの処理で利用されることを想定している、たいへん大きな権限を行使できる情報です。
当社では、加盟店さまのシークレットの管理上の問題に起因する事故について、一切の責任を負いかねます。
アプリトークンの使い方
以降、全てのページで、HTTPリクエストヘッダのAuthorizationに記述する
- アプリトークンを「
{jwt}」 - シークレットを「
{secret}」
と、それぞれ記述します。
Bearer認証の記述例
// シークレットなし
Bearer {jwt}
// シークレットあり
Bearer {secret}.{jwt}アプリトークンの種類
管理画面からは、2種類のアプリトークンを作成可能です。
それぞれの意味合いと役割を表にしたものが以下です。
| 名前 | アプリトークンの権限 | シークレットの要否 |
|---|---|---|
| 加盟店 | トランザクショントークンと課金の作成のみ不可 | 必要 |
| 店舗 | その「店舗」に対する全てのリクエストが可能 | ブラウザ上では不要 バックエンドからAPIへリクエストする際には必要 |
ウィジェットやインラインフォーム出力リクエストは、登録したドメインからであることを認証しています。
管理画面で「店舗」のアプリトークンを作成する際には、ドメインを登録してください。
