認証
すべての REST リクエストは、Bearer トークンとして送信される API キー で認証されます。 (検証エンドポイントは唯一の例外です。印刷されたシリアルが認証情報となるため、キーは不要です。)
# API キー
アプリの設定 → API キーでキーを作成します。2 つの種類があります:
| プレフィックス | 用途 |
|---|---|
mtq_live_… |
本番環境 — プランのクォータにカウントされます。 |
mtq_test_… |
テスト用。 |
キーは作成時に一度だけ表示されます。安全な場所に保存してください。サーバー側には SHA-256 ハッシュのみが保持されるため、紛失したキーは復元できず、失効させて新しいキーに置き換えるしかありません。
# キーの送信
すべてのリクエストに Authorization ヘッダーを追加します:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
キーが不足している、無効である、または失効している場合は 401 が返されます。各キーは固定ウィンドウごとにレート制限されます。制限を超えると 429 が返されます。エラーを参照してください。
# ベース URL
https://mostlyqr.com/api
/api/** へのリクエストは、ホスティングのリライトによって REST 関数にルーティングされます。(生の関数 URL https://europe-west2-mostly-qr.cloudfunctions.net/restApi も動作します。)
# プラン制限
一部のエンドポイントは有料プランが必要です: REST API とバッチは Pro+、シリアル化コードは Enterprise です。プランの範囲を超えるリクエストは 403/failed-precondition とともにエラーの制限が返されます。設定でプランを確認してください。
# キーの安全性維持
- クライアント側のコードやパブリックリポジトリにキーを含めないでください。
- 新しいキーを作成し、古いキーを失効させることでローテーションします。失効は即座に反映されます。