外部API実行の際に、発行されたクライアントIDとクライアントシークレットを使用して、都度アクセストークンを取得する必要があるのですが、都度取得したアクセストークンの保存場所はどこが適切なのでしょうか。
別途サーバを立てる予定はありません。
kintone.plugin.app.setProxyConfigをつかえる場所がプラグイン設定画面のみとなるため、すでに発行されているクライアントIDとクライアントシークレットはプラグイン設定画面で保存しておきセキュアに扱えるのですが、それらを使って取得するアクセストークンのセキュアな取り扱いに困っています。(てっきりkintone.plugin.app.setProxyConfigがレコード追加画面などでも使えるものだとばかり思っていました。。)
よろしくお願いします。
usa_pyonさん、こんばんは!
一つの方法にはなりますが、
アクセストークンを保存する用のkintoneアプリを作成して、
そちらに保存し、取得をかけに行く方法はいかがでしょうか?
もちろん、そのアプリは、ユーザーには閲覧権限を与えず、
kintone.plugin.app.proxy()で、APIトークンを用いて、
アクセストークンの取得・更新を行い、
kintoneのAPIトークン自体も、プラグイン側にセキュアに持たせる必要はあります。
別途サーバーを立てない、kintoneでのセキュアなコーディングについては、
(かつ、できるだけ開発コストも抑えて)
私としても、とても気になるトピックですので、
他の方のやり方も聞いてみたいですね。
田中太郎さん、こんにちは!
お返事ありがとうございます!
アクセストークン保存用のkintoneアプリを作成するの、とてもいいですね!閲覧権限を与えないため、APIトークンをつかえばレコードの値(アクセストークンの値)を取得および更新できるイメージでしょうか。
本アプリのプラグインの方で保存用アプリのAPIトークンの管理が必要なのと、恐らく本アプリからアクセストークン含めたAPIをコールする際にはコンソールのネットワークでアクセストークンの値が見えてしまいますが、ブラウザのローカルストレージに保存する方法よりもセキュアに、サーバを立てるよりもコストを抑えて実行できそうですね!
とても勉強になりました、ありがとうございました。
このトピックはベストアンサーに選ばれた返信から 3 日が経過したので自動的にクローズされました。新たに返信することはできません。