APIスキャン機能では、AeyeScanからAPIに対して巡回・スキャンを行うことが可能です。
「OpenAPIファイル」、「cURLコマンド」、「HARファイル」の3つの形式でAPIをインポートに対応しています。
また、Bearer認証を使用しているAPIの場合、後述する方法で認証トークンを自動で引き継ぐことも可能です。
※「APIスキャン機能」はBusinessプランのみ、追加可能なオプションで別途ご契約が必要となります。
| 目次
|
ドメイン登録 新規スキャン作成 APIインポート <OpenAPIファイルインポート> <cURLコマンドインポート> <HARファイルインポート> スキャン対象API編集 Bearerトークン引継ぎ設定 APIキー設定 巡回の実行 巡回結果の確認 「フォーム入力値変更・再巡回」を利用したAPIキーやAPIトークンの設定 スキャンの実行 |
ドメイン登録
事前にスキャン対象APIのドメイン情報を登録、ドメインアクティベーションします。
ドメイン登録については、「Step3 ドメインの登録」及び、必要に応じて「Step4 ドメインアクティベーション」をご実施ください。
新規スキャン作成
1. スキャン一覧から「+新規スキャン」をクリックします。
2. 「サイト名称」を設定し、「トップURL」にAPIのドメインを設定します。
3. 「基本情報>サイトタイプ」にて、「API」を選択し、スキャン対象APIをインポートする画面を表示します。
APIインポート
各型式毎に以下の手順にて、APIのインポートをおこないます。
<OpenAPIファイルインポート>
(1)「OpenAPIファイルインポート 」をクリックします。
(2)ファイル選択ダイアログからOpenAPIファイルを指定します。
※OpenAPIファイルについては、yaml形式とjson形式に対応しております。
(3)インポートした、APIが一覧で表示されます。
<cURLコマンドインポート>
(1)「cURLコマンドインポート」をクリックします。
(2)「cURLコマンド入力」画面が表示されるので、APIを実行するcURLコマンドを入力し、「登録」をクリックします。
(3)取り込んだ、APIが表示されます。
<HARファイルインポート>
(1)「HARファイルインポート」をクリックします。
(2) ファイル選択ダイアログからHARファイルを指定します。
※HARファイル とは、ブラウザの通信を記録したjsonファイルです。ブラウザの開発者ツール等から取得可能です。
(3)取り込んだ、APIが表示されます。
スキャン対象API編集
前述の方法でAeyeScanへインポートしたAPIは、鉛筆アイコンから編集を行うことが可能です。
Bearerトークン引継ぎ設定
Bearer認証を使用している場合、アクセストークンを自動で引き継ぐことが可能です
スキャン対象API一覧より、アクセストークンを発行するAPIの「ログイン」の欄にチェックを入れてください。
|
MEMO
|
APIキー設定
API キーやトークンの設定が必要な場合、巡回前に 「フォーム入力値設定」もしくは「カスタムヘッダ」より設定することが可能です。
例として、API キーとAPIトークンがそれぞれ、「API_KEY」と「API_TOKEN」という名前で送信される場合、以下のように設定をおこないます。
<フォーム入力値設定>
フォーム入力値設機能で設定する場合、以下のように設定をおこないます。
<カスタムヘッダ>
カスタムヘッダ機能で設定する場合は、以下のように設定をおこないます。
上記を設定後、画面下部の「登録」ボタンをクリックし、スキャンの登録をおこないます。
巡回の実行
設定が完了したら、巡回を実施します。
巡回結果の確認
巡回完了後、画面遷移図を確認し、各APIに対して正常にアクセスができていることを確認します。
巡回時は、AeyeScanが自動生成したHTML(APIを実行する画面)に巡回を行いAPIの通信内容を取得します。
トップの画面から数えて、3階層目の画面がAPIの実行結果(レスポンス)が表示される画面となりますので、正常に応答が返ってきているかをご確認ください。
「フォーム入力値変更・再巡回」を利用したAPIキーやAPIトークンの設定
API キーやトークンの設定が必要な場合、画面遷移図 の「フォーム入力値変更・再巡回」機能からも値の変更が可能です。
設定をおこなう場合、エラーが発生している画面の「カタツムリアイコン」をクリックします。
「フォーム入力値変更・再巡回」画面にて正しいAPIキーやAPIトークンを設定し、「変更してこの画面から再巡回」ボタンをクリックします。
|
MEMO リクエストヘッダであるAPIキーやAPIトークンのほかに以下の項目などが変更可能です。 例: depth→パスパラメータ param→クエリパラメータ title&author→JSONリクエスト(リクエストボディ) |
スキャンの実行
画面遷移図上の各APIにて正常にアクセスが出来たことを確認後、スキャンを実行します。
APIスキャン機能 の利用方法は以上となります。