ステップ
- 2.1 アプリ登録
- 2.2 アプリ認証
- 2.3 APIの利用
2.1 アプリ登録
スタッフプレースにログインし、「アプリ」メニューより新規アプリの登録を行ってください。
「アプリ」メニューでは、SPIRAL PLACEユーザーがアプリによる操作を許可する際に表示する情報や、アプリのコールバックURIを設定します。
また、登録したアプリの詳細を確認・変更することができます。
アプリ登録を行うと、アプリにクライアントIDとクライアントシークレットが発行されます。
クライアントシークレットはクライアントの認証を行うためのパスワードです。
大切に保管してください。
※ 公開されたソースコード内や、アプリユーザーが閲覧できる場所に表示しないでください。
2.2 アプリ認証
アプリ登録が完了したら、登録した情報を用いてアプリの認証機構を実装します。
SPIRAL PLACE APIでは、OAuth 2.0(認可コードによる認証)を採用しています。
OAuth 2.0(認可コードによる認証)の流れ
認可コードによる認証では、以下の流れでAPIへのアクセストークンを取得します。
1)認可コードリクエスト
アプリが認証フローをSPIRAL PLACEの認証サーバにリクエストします。
この時、アプリはアプリ登録時に登録したリダイレクトURIと、取得したクライアントIDと
スコープ、アカウントキーをリクエストに含めます。
2)ユーザー認証・アプリ認証
認証サーバはアプリのクライアントIDとリダイレクトURIの正当性を検証後、ブラウザなどの
ユーザーエージェントを介して、SPIRAL PLACEユーザーを指定されたアカウントへログインさせ、 アプリによるアクセスへの許可/拒否を尋ねます。
この時、ユーザーエージェントが既に指定されたアカウントへのログインセッションを持っている
場合、ログインのステップは省略されます。
3)認可コード
ユーザーがアプリを許可した場合、認証サーバはアプリへの認可コードを付与し、指定された
リダイレクトURIにユーザーエージェントをリダイレクトさせます。
4)トークンリクエスト
アプリは、取得した認可コード、リダイレクトURI(認可コードリクエスト時と同じもの)、
クライアントID、クライアントシークレットを含め、認証サーバにアクセストークンを
リクエストします。
5)アクセストークン
認証サーバは、アプリのクライアントID、リダイレクトURI、認可コードを検証後、問題がなければ アクセストークン、リフレッシュトークンなどの認可情報をアプリへ返します。
アクセストークンを取得したアプリは、その後、アクセストークンを付与してAPIサーバに
リクエストすることにより、SPIRAL PLACEのAPIを利用できるようになります。
認可リクエスト及びトークンリクエスト時の詳細やレスポンスの内容は
「3.1 アクセストークンの取得|SPIRAL PLACE API」をご参照ください。
トークンの更新
SPIRAL PLACE APIではリフレッシュトークンに対応しています。
取得したアクセストークンの有効期限は1時間ですが、リフレッシュトークンを利用することで、
認可コードによる認証を再度行うことなく、新しいアクセストークンを取得することができます。
リフレッシュトークンの有効期限は90日です。
リフレッシュトークンの詳細は「3.1 アクセストークンの取得|SPIRAL PLACE API」をご参照ください。
2.3 APIの利用
アクセストークンを利用してAPIにアクセスする
APIを呼び出すときは、Authorizationヘッダーに取得したアクセストークンを含めてリクエストします。
Authorization: Bearer [access_token]各APIについては「4.リファレンス|SPIRAL PLACE API」をご参照ください