認証

QuickTrust API の認証方法について説明します。

APIキー認証

すべてのAPIリクエストには、Authorization ヘッダーでAPIキーを指定する必要があります。

curl https://api.quicktrust.jp/v1/verification-sessions \
  -H "Authorization: Bearer qt_your_api_key"

APIキーの形式

APIキーは qt_ プレフィックスで始まります：

qt_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

APIキーの取得

APIキーは管理画面のテナント API キーページから発行できます。

セキュリティのベストプラクティス

APIキーの保護

• APIキーは環境変数で管理し、コードにハードコーディングしない
• クライアントサイド（ブラウザ、モバイルアプリ）にAPIキーを含めない
• 本番環境とテスト環境で異なるAPIキーを使用する

// 推奨
const apiKey = process.env.QUICKTRUST_API_KEY;

// 非推奨
const apiKey = "qt_xxxxx"; // コードに直接記載しない

APIキーのローテーション

• 定期的にAPIキーをローテーションする
• 漏洩の疑いがある場合は即座に無効化する

エラーレスポンス

認証に失敗した場合、以下のエラーが返されます：

401 Unauthorized

APIキーが無効または未指定の場合：

{
  "error": "Unauthorized",
  "message": "Invalid or missing API key"
}

403 Forbidden

APIキーは有効だが、リソースへのアクセス権がない場合：

{
  "error": "Forbidden",
  "message": "Access denied to this resource"
}