API キー
v1 のすべてのエンドポイントはx-api-key ヘッダーでの API キー付与が必要です。
API キーの作成
- AFKCrypto ダッシュボードにサインイン
- API Keys セクションを開く
- 「Generate API Key」をクリック
- わかりやすい名前を付ける
- 任意: 有効期限を設定(7日、30日、90日、180日、1年)
- すぐにキーをコピー(再表示されません)
キー形式
- Prefix: 迅速な識別のための 4 文字識別子
- Random: 暗号学的に安全な 32 文字のランダム文字列
API キーの使用
すべてのリクエストにx-api-key ヘッダーでキーを付与します。
セキュリティのベストプラクティス
- API キーをリポジトリにコミットしない: 環境変数を使用
- 定期的にキーをローテーション: 一時的なアクセスには期限を設定
- 環境ごとにキーを分離: dev / staging / production
- 未使用キーは即時失効: 攻撃面を縮小
- 安全に保管: シークレットマネージャー(例: AWS Secrets Manager, HashiCorp Vault)
キーの有効期限
API キーは指定期間後に期限切れとすることができます。- 期限なし(既定): 失効するまで有効
- 7日: 短期テスト/デモ
- 30日: 外部委託やトライアル
- 90日: 四半期ごとのローテーション推奨
- 180日: 半期ローテーション
- 1年: 安定統合向けの年次ローテーション
- 当該キーでのリクエストは HTTP 401
UNAUTHORIZED - ダッシュボード上で監査目的に表示は残る
- 代替の新しいキーを作成
- ダッシュボードに「Expired」/「Expiring soon」(≤ 7 日)ラベル
- 事前アラートを設定して中断を回避
キーの上限
- アクティブなキーの最大数: ユーザーあたり 10
- レート制限が適用: Rate limiting を参照
- 未使用キーは失効して上限内に維持
API キーの失効
ダッシュボードから即時に失効できます。- API Keys を開く
- 対象のキーを見つける
- 「Revoke Key」をクリック
- 実行を確認