4. APIキーと認証の基礎：安全なAPIアクセスのために

2025.08.11

前回の記事はこちら

前回の記事では、APIの世界への第一歩として「eBay開発者プログラム」への登録を無事に完了しましたね。お疲れ様でした。これで私たちは、APIという名のレストランの入り口に立った状態です。

今回は、いよいよ店の中に入り、ウェイター（API）に注文をするために必要な「合言葉」と「鍵」を手に入れたいと思います。少し専門的に聞こえるかもしれませんが、一つ一つ解説しますのでご安心ください。

APIの認証とは？なぜ必要なの？

APIを利用するということは、あなたの代わりにプログラムが、あなたのeBayアカウントの情報を操作するということです。そのため、eBay側は「本当にあなた本人（またはあなたが許可したプログラム）からの指示なのか？」を厳格に確認する必要があります。この本人確認の仕組みを「認証」と呼びます。

認証がなければ、誰でもあなたの店舗の情報を書き換えられてしまうかもしれません。そう考えると、とても重要な仕組みですよね。

この認証のために、私たちは2種類の重要な情報を手に入れる必要があります。

1. APIキーセット：あなたの「アプリ」の身分証明書

まず一つ目は「APIキーセット（Application Keysets）」です。これは、APIを利用するプログラム（アプリケーション）自体が持つ、固有の身分証明書のようなものです。eBayは、このキーを見て「ああ、これはStanさんが開発者登録した、あのアプリからの通信だな」と識別します。

このキーセットには、練習用の「サンドボックス環境」で使うものと、実際のビジネスで使う「本番環境」で使うものの2種類があります。練習コースと本番の道路で、それぞれ別の教習車を使うイメージです。絶対に混ぜて使わないようにしましょう。

APIキーセットの取得手順

前回登録したeBay開発者ポータルにログインします。
メニューから「Application Keys」といった項目を探してクリックします。
あなたのアプリケーションに名前を付けます（例：「MyKeyset」など）。

「Sandbox」用のキーセットを作成するボタンを押します。すると、「App ID」「Dev ID」「Cert ID」という3つの情報がセットで発行されます。これがあなたのアプリの身分証明書です。大切に保管してください。

ご注意：本番環境のキーセットを使用する前に、eBayマーケットプレイスアカウントの削除/閉鎖通知の購読またはオプトアウトを行う必要があります。「Your Keyset is currently disabled（キーセットは現在無効です）」というメッセージが表示された場合は、メッセージ内のリンクをクリックしてコンプライアンスプロセスを開始してください。（簡単に言うと、本番環境を使うためには、eBayからアカウント削除に関するお知らせを受け取るかどうか、事前に設定が必要ということです。）

2. ユーザートークン：あなたからの「委任状」

APIキーセットは、あくまで「どのアプリか」を証明するだけです。それだけでは、eBayは「そのアプリが、誰のアカウントを操作する権限を持っているのか」が分かりません。

そこで必要になるのが、二つ目の「ユーザートークン（User Token）」です。これは、特定のeBayユーザー（つまり、あなた）が、あなたのアプリに対して「私の代わりに操作をしても良いですよ」と許可を与えた証です。いわば、あなたがアプリに渡す、期間限定の「委任状」や「お店の鍵」のようなものです。

私たちがこれから主に使っていくTrading APIという種類のAPIでは、このユーザートークンを使った「OAuth2.0」という認証方法が使われます。

ユーザートークンの取得手順

ユーザートークンの取得も、開発者ポータルから簡単に行えます。

開発者ポータルのメニューから「User Tokens」といった項目を探します。

「Get a User Token Here」のようなリンクをクリックし、あなたのeBayサンドボックス用アカウントでサインインします。（練習用のトークンをもらうために、練習用のアカウントでサインインするのがポイントです）

サインインが成功すると、非常に長い文字列が生成されます。これが、あなたのサンドボックス用ユーザートークンです。

このトークンは通常2時間の有効期限があります。

3. サンドボックスユーザーの作成について：

上記で作成したキーセットはサンドボックス環境でのテスト用キーセットであり、Sandbox環境を利用するには、サンドボックスアカウントが必要です。サンドボックス環境でテストを行うためのサンドボックスアカウントは、上記の画像で「register a new sandbox user」というリンクから作成できます。サンドボックスアカウントの作成数に制限はありませんが、テストを円滑に進めるために、2つのバイヤーアカウントと1つのセラーアカウントを作成することをお勧めします。

まとめ：2つの鍵を安全に管理しよう

今回、私たちは2種類の認証情報を手に入れました。

APIキーセット：どの「アプリ」からの通信かを証明するID。
ユーザートークン：誰の「アカウント」を操作する権限があるかを証明する委任状。

これらの情報は、あなたのお店の運営に関わる、非常に重要なパスワードです。第三者に知られないよう、厳重に、安全に管理してくださいね 17。

さあ、これでアカウントの登録が済み、アプリの身分証明書とあなたからの委任状も手に入りました。準備は万端です。

次回は、いよいよAPIを実際に試していきます。本番の店舗に影響を与えずに、安全にAPIの練習ができる「サンドボックス環境」の使い方について、詳しく解説します。手に入れたばかりのキーとトークンを使って、APIとの対話を始めてみましょう。

APIは難しくない！あなたのビジネスを加速させる魔法の杖です。

リファレンス：APIアクセスに必要なキーとトークンの種類と役割

種類	主な構成/取得方法	主な役割	関連API
Application Keysets (Sandbox)	App ID (Client ID), Dev ID, Cert ID (Client Secret)。開発者ポータルで特定アプリ用に生成。	アプリがサンドボックス環境で自身を識別するため。	全てのAPIコール
Application Keysets (Production)	App ID (Client ID), Dev ID, Cert ID (Client Secret)。開発者ポータルで特定アプリ用に生成。	アプリが本番環境で自身を識別するため。	全てのAPIコール
OAuth 2.0	ユーザーのパスワードなしに、アプリケーションが限られたアクセス権を取得するための認可フレームワーク。	特にWebやモバイルアプリケーションにおいて、より安全で柔軟な認可を実現するために使用されます。	OAuth 2.0をサポートするAPI
Auth'n'Auth User Token (Sandbox/Production)	暗号化された文字列。ユーザーが開発者ポータルまたはアプリ内の同意フロー経由で生成。	特定のeBayユーザーに代わってアプリが操作を実行することを許可するため。	Trading APIなど従来のAPI