アクセス制限
アクセス制限の仕様について説明します。
アクセス元の制限
全てのリクエストに対して、アクセス元の制限をかけられます。
これらの制限はデフォルトでは設定されていませんので、ご利用の際はサポートまでご連絡ください。
また、制限は一括で設定されます。API 単位で個別に設定することは出来ませんので、ご了承ください。
アクセス可能な IP アドレスの指定
お客様のクライアント ID を利用するリクエストについて、指定した IP アドレス以外からのアクセスを拒否します。
| メリット | 万が一秘密鍵が漏洩したとしても、第三者による不正アクセスを防げる |
| デメリット | サーバ台数が変化する度に、IP アドレスを設定し直す必要がある |
IP アドレスの追加・変更について
サーバ増設時などは IP アドレスの再設定がされるまで追加サーバからのリクエストが出来ませんので、ご注意ください。
アクセス可能なホストの指定
お客様のクライアント ID を利用するリクエストについて、指定したホスト以外からのアクセスを拒否します。
| メリット | Ajax 通信のみのサーバレスな実装が出来る |
| デメリット | ・ リファラを消す設定がされているブラウザや端末からはアクセスが出来なくなる ・ リファラは改ざん可能なため、セキュリティレベルが低い |
ホストの比較は「完全一致」で行います。
例えば、「example.com」と登録した場合、「example.jp」や「www.example.com」からのアクセスは拒否されます。
リファラを消す設定がされているブラウザや端末では JavaScript などでリファラを付与することはできません。
リファラには「ブラウザが遷移元を保持するためのリファラ」と「Ajax 通信の際にリクエストに付与されるリファラ」がございますが、アクセス制限に必要なリファラは後者を指しています。
IP アドレス制限とホスト制限の両立について
IP アドレスの制限とホストの制限は同時に設定可能です。その際、以下のルールでアクセス可否が判定されます。
| IP アドレス | ホスト | アクセス可否 |
|---|---|---|
| 一致 | 一致 | 可 |
| 一致 | 不一致 | 不可 |
| 不一致 | 一致 | 不可 |
| 不一致 | 不一致 | 不可 |
デジタル署名による認証との共存について
デジタル署名による認証とアクセス元の制限は同時に設定可能です。その際、以下のルールでアクセス可否が判定されます。
| デジタル署名 | アクセス元 | アクセス可否 |
|---|---|---|
| 一致 | 一致 | 可 |
| 一致 | 不一致 | 不可 |
| 不一致 | 一致 | 不可 |
| 不一致 | 不一致 | 不可 |
なお、アクセス元の制限が設定されている場合、デジタル署名による認証は必須ではありません。
認証を不要にする場合は、お手数ですがサポートまでご連絡ください。
Ajax 通信のみのサーバレス実装の場合は、デジタル署名を無くすことを推奨致します。
アクセス先の制限
お客様のクライアント ID を利用してリクエスト出来る API は、契約時に利用登録させて頂いたものに限定されています。
開発用のクライアント ID については無制限に API へアクセス出来ますので、試してみて追加で必要となった場合は、お手数ですがサポートまでご連絡ください。