APIスキャン機能では、AeyeScanからAPIに対して巡回・スキャンを行うことが可能です。
以下の3つの形式でAPIをインポートできます。
- 「OpenAPIファイル」
- 「cURLコマンド」
- 「HARファイル」
また、認証にBearerトークンを使用している場合、トークンを自動で引き継ぐことも可能です。
※「APIスキャン機能」はBusinessプランのみ、追加可能なオプションで別途ご契約が必要となります。
| 目次
ドメイン登録
事前にスキャン対象のAPIのドメインを登録します。
ドメイン登録については、「Step3 ドメインの登録」及び、
必要に応じて「Step4 ドメインアクティベーション」をご実施ください。
新規スキャン作成
1. スキャン一覧から「+新規スキャン」をクリックします。
2. 「サイト名称」を設定し、「トップURL」にAPIのドメインを設定します。
3. 「スキャン基本オプション>サイトタイプ」にて、「API」を選択します。
スキャン対象APIをインポートする画面が表示されます。
APIインポート
各型式毎に以下の手順にて、APIのインポートをおこないます。
<OpenAPIファイルインポート>
(1)「OpenAPIファイルインポート 」をクリックします。
(2)ファイル選択ダイアログからOpenAPIファイルを指定します。
(3)取り込んだ、APIが表示されます。
<cURLコマンドインポート>
(1)「cURLコマンドインポート」をクリックします。
(2)「cURLコマンド入力」画面が表示されるので、APIを実行するcURLコマンドを入力し、「登録」をクリックします。
(3)取り込んだ、APIが表示されます。
<HARファイルインポート>
(1)「HARファイルインポート」をクリックします。
(2) ファイル選択ダイアログからHARファイルを指定します。
(3)取り込んだ、APIが表示されます。
※HARファイル とは、ブラウザの通信を記録したjsonファイルです。ブラウザの開発者ツール等から取得可能です。
Bearerトークン引継ぎ設定
Bearer認証を使用している場合、アクセストークンを自動で引き継ぐことが可能です
スキャン対象API一覧より、アクセストークンを発行するAPIの「ログイン」の欄にチェックを入れてください。
APIキー設定
API キーやトークンの設定が必要な場合、巡回前に 「フォーム入力値設定」もしくは「カスタムヘッダ」より設定することが可能です。
例として、API キーとAPIトークンがそれぞれ、「API_KEY」と「API_TOKEN」という名前で送信される場合、以下のように設定をおこないます。
<フォーム入力値設定>
フォーム入力値設機能で設定する場合、以下のように設定をおこないます。
<カスタムヘッダ>
カスタムヘッダ機能で設定する場合は、以下のように設定をおこないます。
スキャン登録
上記を設定後、画面下部の「登録」ボタンをクリックし、スキャンの登録をおこないます。
巡回の実行
設定が完了したら、巡回を実施します。
巡回結果の確認
巡回完了後、画面遷移図を確認し、各APIに対して正常にアクセスができていることを確認します。
巡回時は、AeyeScanが自動生成したHTML(APIを実行する画面)に巡回を行いAPIの通信内容を取得します。
トップの画面から数えて、3階層目の画面がAPIの実行結果(レスポンス)が表示される画面となりますので、正常に応答が返ってきているかをご確認ください。
API キーやトークンの設定が必要な場合、画面遷移図 の「フォーム入力値変更・再巡回」機能からも値の変更が可能です。
設定をおこなう場合、エラーが発生している画面の「カタツムリアイコン」をクリックします。
「フォーム入力値変更・再巡回」画面にて正しいAPIキーやAPIトークンを設定し、「変更してこの画面から再巡回」ボタンをクリックします。
スキャンの実行
各APIにて正常にアクセスが出来ることを確認後、スキャンを実行します。
APIスキャン機能 の利用方法は以上となります。