クライアントアプリケーションでの API トークンの使用

最終更新日: 19 年 2024 月 XNUMX 日

API トークンは、API リクエストを認証および承認するための資格情報として機能します。API トークンを使用する場合は、次の手順に従ってください。

  • トークンを秘密にしておく: API トークンはパスワードのようなもので、リソースへのアクセスを許可します。トークンは秘密にしておき、アプリケーションのクライアント側コードや公開アクセス可能なリポジトリにハードコーディングしないようにしてください。
  • セキュアストレージ: トークンはクライアント側で安全に保管してください。プレーンテキストで保管したり、ローカル ストレージや Cookie などの安全でないストレージ メカニズムを使用したりしないでください。サーバー側アプリケーションにトークンをデプロイする場合は、環境変数または安全なシークレット管理システム (推奨) を使用してトークンを保管およびアクセスしてください。
  • 監査ログ: トークンの使用状況の監査ログを保持して、疑わしいアクティビティや不正なアクセスの試みを監視します。LogicMonitor の監査ログで関連イベントを検索します。
  • 単一目的: クライアントまたはアプリケーションごとに一意のトークンを生成します。 1 つのトークンは、1 つのソースの場所から 1 つの目的でのみ使用する必要があります。
  • ユーザーを教育する: API トークンのセキュリティの重要性と、それらを処理するためのベスト プラクティスについて、開発者とユーザーに教育します。