認証方式
AgentWallexは2つの認証方式をサポートしています:
| 方式 | ヘッダー | ユースケース |
|---|
| APIキー | X-API-Key: awx_... | SDKおよびサーバー間統合 |
| JWTベアラートークン | Authorization: Bearer eyJ... | Webアプリ、OAuth、ダッシュボードセッション |
APIキー認証
APIキーは、サーバーサイドおよびSDK統合に推奨されるアプローチです。すべてのキーはawx_プレフィックスで始まります。
curl -X GET https://api.agentwallex.com/api/v1/agents \
-H "X-API-Key: awx_your_api_key"
クライアントサイドのコード、公開リポジトリ、またはログにAPIキーを公開しないでください。常に環境変数から読み込んでください。
環境変数
APIキーを環境変数として保存します:
AGENTWALLEX_API_KEY=awx_your_api_key
JWTベアラートークン認証
WebアプリケーションやOAuthフローには、JWTベアラートークンを使用します。トークンはGoogle OAuthフローを通じて取得されます:
OAuthフローの開始
ユーザーをGoogle OAuthエンドポイントにリダイレクトします:GET /auth/google/redirect
コールバックの処理
認証後、GoogleがワンタイムコードとともにコールバックURLにリダイレクトします:GET /auth/google/callback
トークンの交換
ワンタイムコードをアクセストークンとリフレッシュトークンに交換します:curl -X POST https://api.agentwallex.com/api/v1/auth/exchange \
-H "Content-Type: application/json" \
-d '{"exchange_code": "one_time_code"}'
アクセストークンの使用
Authorizationヘッダーにアクセストークンを含めます:curl -X GET https://api.agentwallex.com/api/v1/agents \
-H "Authorization: Bearer eyJhbGciOi..."
トークンの更新
アクセストークンには有効期限があります。リフレッシュトークンを使用して新しいアクセストークンを取得します:
curl -X POST https://api.agentwallex.com/api/v1/auth/refresh \
-H "Content-Type: application/json" \
-d '{"refresh_token": "your_refresh_token"}'
ログアウト
現在のセッションを無効にします:
curl -X POST https://api.agentwallex.com/api/v1/auth/logout \
-H "Authorization: Bearer eyJhbGciOi..."
セキュリティのベストプラクティス
統合を安全に保つために、以下のプラクティスに従ってください。
- 環境変数を使用する — ソースコードにAPIキーをハードコードしないでください。
- 定期的にキーをローテーションする — 少なくとも90日ごとにAPIキーをローテーションしてください。ローテーション手順についてはAPIキーを参照してください。
- 必要最小限のスコープを使用する — 環境ごと(サンドボックスと本番)に別々のAPIキーを作成してください。
- IP許可リストを有効にする — GrowthおよびEnterpriseプランで利用可能で、既知のIPへのAPIアクセスを制限します。
- 監査ログを監視する — ダッシュボードまたは
GET /audit-logsで認証イベントを確認してください。
- 開発にはサンドボックスを使用する — 本番キーや実際の資金でテストしないでください。
