API では、クライアントのリクエストがデータに安全にアクセスできるようにするため、認証と認可を利用します。認証はリクエスト送信者の身元を確認することであり、認可は送信者がエンドポイントにアクセスする権限を持っていることを確認することです。Apidog は両方の仕組みを包括的にサポートしており、API リクエストを保護し、サードパーティサービスとシームレスに連携できます。API を構築している場合は、さまざまな認証モデルから選択できます。サードパーティ API と連携している場合、必要な認可は API プロバイダーによって指定されます。認証と認可とは何ですか?#
これら 2 つの概念の違いを理解することは重要です。| 概念 | 目的 | 例 |
|---|
| 認証 | 自分が誰であるかを確認します | ユーザー名とパスワードでログインする |
| 認可 | 自分が何にアクセスできるかを確認します | リソースを表示する権限があるかどうかを確認する |
一部の API では、デジタル証明書を使用してクライアントの身元を確立する必要があります。Apidog は、安全な認証のために認証局(CA)証明書とクライアント証明書をサポートしています。詳しくは、CA and Client Certificates を参照してください。 Apidog における認証#
Apidog は、多様なセキュリティ要件に対応するため、複数の認証方式をサポートしています。認証は次の 3 つのレベルで設定できます。リクエストレベル: 個別のリクエストに認証を適用します
フォルダーレベル: フォルダー内のすべてのリクエストに認証を適用します
コレクションレベル: コレクション内のすべてのリクエストに認証を適用します
証明書ベースの認証#
デジタル証明書を必要とする API の場合、認証局(CA)証明書またはクライアント証明書を Apidog に追加できます。これにより、相互 TLS(mTLS)認証を必要とする API にアクセスできるようになります。詳しくは、CA and Client Certificates を参照してください。Apidog における認可#
Apidog で送信する任意のリクエストに、認可の詳細を含めることができます。認証データは、リクエストのヘッダー、ボディ、またはパラメータとして含めることができます。認可を設定する方法#
リクエストの Authorization タブに認証情報を入力すると、Apidog は選択した認証タイプに応じて、リクエストの関連部分を自動的に設定します。これにより、手動設定が不要になり、エラーを減らせます。継承: リクエストは親フォルダーから認可を継承できます
複数の認証タイプ: API Key、Bearer Token、OAuth、Basic Auth などをサポートします
自動入力: 認証情報はヘッダー、ボディ、またはクエリパラメータに自動的に追加されます
リクエストまたはフォルダーの Authorization タブを使用して認証タイプを選択し、関連する詳細を入力してください。この方法は、認証ヘッダーを手動で追加するよりも保守しやすくなります。