Community

コミュニティをご利用の際は 【ガイドライン】を確認・同意いただいた上でご利用ください。

  • 投稿

    アバターkazuhirokomiya

    freee 仕分けデータAPI /journal ログ・なりすまし対策

     ご担当者様

     

     お世話になります。仕訳帳APIについて以下の(2点)について回答いただけないでしょうか。

     

    1. ログの内容と期間

     API利用についてロギングを行っていると思いますが、その際に記録している情報を可能な範囲で教えていただけないでしょうか。また保存している期間を教えていただけないでしょうか。

     

    2. APIの仕様では OAuth による認証がされていますが、システム側からレスポンスとしていただく情報(access_token, refresh_token等)の正当性を確認する手段を提供しているでしょうか。(なりすまし対策)

    回答

    freee dev-supportfreee dev-support

    お世話になっております。

    お問い合わせありがとうございます。
    ご質問いただいている2点について、社内で確認を取っております。

    お時間がかかっており、誠に申し訳ございません。
    確認でき次第、改めてご連絡させていただきます。

    何卒よろしくお願い申し上げます。

    アバターkazuhirokomiya

    ご担当者様

     

    回答に時間がかかるとのこと承知しました。

    引き続きよろしくお願いします。

    freee dev-supportfreee dev-support

    お時間をいただきありがとうございます。

    確認ができましたので、ご連絡いたします。

    1. ログの内容と期間
    ・内容としては、アクセスログを記録しております
    ・期間は現状設けておりませんのでずっと保存されています

    2.システム側からレスポンスとしていただく情報(access_token, refresh_token等)の正当性を確認する手段を提供しているか?(なりすまし対策)
    トークン発行自体がOauth認証を通して行われる(=正当性が確認されている)ため freeeとしては過去発行されたトークンの正当性を確認する手段の提供はしておりません。

    ですが、なりすましの対策として、リフレッシュトークンを用いたトークン再発行や revoke(トークン破棄)処理が可能なようにしております。
    公開アプリを開発される方にはセキュリティガイドラインを提供もしています。 https://app.secure.freee.co.jp/developers/guidelines/1

    このように、「盗まれた合鍵」の正当性を証明することは難しいですが、 「合鍵が盗まれないような対策」は提供しております。

    お手数をおかけしますが、ご確認くださいませ。
    どうぞよろしくお願いいたします。

    アバターkazuhirokomiya

     ご担当者様

     

     回答いただきありがとうございました。

    1. ログの保存期間について:無期限

    2. セキュリティー:OAuthの枠組み内で担保

     

     とのこと承知しました。