認証

TWP公開APIの認証方法について説明します。

APIキー認証

TWP公開APIは、APIキーによる認証を使用します。すべてのAPIリクエストには有効なAPIキーが必要です。

APIキーの取得

TWP管理画面にログイン
「組織設定」→「APIキー」を開く
「新規APIキー作成」をクリック
名前と権限を設定して作成

権限設定

APIキー作成時に、以下の権限を設定できます。

権限	説明
`cms:read`	コンテンツの取得・検索
`inquiry:create`	問い合わせの作成

必要な権限のみを付与することを推奨します。

APIリクエストの認証

APIキーを X-API-Key ヘッダーに含めてリクエストします。

X-API-Key: your_api_key_here

リクエスト例

curl -X GET "https://your-tenant.api.tocca.systems/v1/cms/contents" \
  -H "X-API-Key: your_api_key_here" \
  -H "Content-Type: application/json"

JavaScript (fetch) の例

const response = await fetch(
  'https://your-tenant.api.tocca.systems/v1/cms/contents?category_code=news',
  {
    headers: {
      'X-API-Key': 'your_api_key_here',
      'Content-Type': 'application/json',
    },
  }
);
 
const data = await response.json();

プレビュートークン（コンテンツAPI用）

コンテンツAPIでは、未公開コンテンツをプレビューするためのトークンを使用できます。

プレビュートークンの取得

TWP管理画面のコンテンツ編集画面から「プレビュー」ボタンでプレビューURLを生成できます。URLに含まれるトークンをAPIで使用できます。

使用方法

X-Preview-Token: preview_token_here

または、クエリパラメータで指定：

?preview_token=preview_token_here

注意事項

プレビュートークンには有効期限があります
トークンは特定のコンテンツまたはカテゴリに紐づいています
本番環境では公開済みコンテンツのみ使用してください

セキュリティ上の注意

APIキーの保護

APIキーはサーバーサイドで使用してください
クライアントサイド（ブラウザのJavaScript）にAPIキーを埋め込まないでください
バージョン管理システムにAPIキーをコミットしないでください

推奨構成

[ユーザーブラウザ] → [自社サーバー] → [TWP API]
                       ↑
                  APIキーはここで管理

APIキーの定期的なローテーション

セキュリティ強化のため、APIキーを定期的に再生成することを推奨します。

新しいAPIキーを作成
アプリケーションを新しいキーに更新
古いキーを削除

HTTPS必須

すべてのAPIリクエストはHTTPS経由で行ってください。HTTP接続は受け付けません。

APIキーの無効化

不要になったAPIキーや、漏洩の疑いがあるAPIキーは速やかに無効化してください。

TWP管理画面の「APIキー」を開く
該当キーの「無効化」をクリック

無効化されたキーでのリクエストは、401エラーが返されます。

概要コンテンツAPI