認証
すべての API リクエストには、Authorization ヘッダーで有効な API Key を送信する必要があります。
API Key のフォーマット
| プロパティー | 値 |
|---|---|
| プレフィックス | shf_ |
| 長さ | 合計 36 文字(shf_ + 英数字 32 文字) |
| 例 | shf_ABCDEFGHIJKLMNOPQRSTUVWXYZ234567 |
使用方法
すべてのリクエストに Bearer token として API Key を含めてください:
Authorization: Bearer YOUR_API_KEY
警告
API Key をクライアント側のコード(ブラウザーやモバイルアプリ)に公開しないでください。API リクエストは必ずバックエンドサーバーを経由してください。
キーローテーション
ダウンタイムなしで API Key をローテーションする手順:
- StoryHubフィード管理画面から新しいキーを発行します。
- 旧キーと新キーの両方が 7 日間の猶予期間 中は有効です。
- アプリケーションを新しいキーに更新します。
- 猶予期間の終了後、旧キーは自動的に無効化されます。
| ポリシー | 値 |
|---|---|
| 推奨ローテーション間隔 | 年 1 回 |
| 猶予期間(両方のキーが有効) | 7 日間 |
| テナントあたりの最大有効キー数 | 2 |
セキュリティーのベストプラクティス
- キーの漏洩が疑われる場合は、直ちにローテーションしてください。
- キーは環境変数またはシークレットマネージャーに保存し、コードにハードコードしないでください。
- API Key のアクセスを特定のバックエンドサービスに制限してください。
- StoryHubフィード管理画面の使用量モニターで予期しないスパイクがないか監視してください。
エラーレスポンス
| ステータスコード | 意味 |
|---|---|
401 Unauthorized | API Key が未指定または無効です |
403 Forbidden | API Key にリクエストされたリソースへのアクセス権がありません |