Takumi Guard の初期 API キー配信方式の変更
· 約4分
Takumi Guard の通知先メールアドレスの登録において、API キーがセットアップメールに直接記載されるようになり、確認リンクのクリックが不要になりました。セットアップがシンプルになると同時に、セキュリティツールによる招待リンクの消費も解消されました。
変更内容
従来は、メール��内の確認リンクをクリックして API キーを確認する流れでした。この方式はやや煩雑であり、かつ何らかの仕組み(セキュリティツール等)が事前に内容を確認する場合に、一部環境でセットアップがブロックされるケースもありました。
新しいフローでは、リスク評価の上、確認リンクを廃止しました。
- 変更前: 登録 → メール内のリンクをクリック → キーを表示 → 手動でコマンドを置き換え、設定
- 変更後: 登録 → メール内のセットアップコマンドをコピー&ペーストで完了
メールには API キーの更新コマンドも含まれているため、セットアップ直後に API キーを新しいものに置き換えることもできます。
補足:セキュリティに関して
メールに API キーが記載される方式の場合、メールサービス内に API キーが残置されます。 一方、以下の通り、本 API キーは漏洩時も大きなリスクを伴いません。
- APIキーを介して取得できる情報は、APIキーの最終利用日時のみです。 今後の機能追加に際しても、この挙動は維持されます。パッケージのダウンロード履歴や、ユーザーのアカウント情報などは取得できません。
- 無効なAPIキーでも、パッケージのブロックは動作します。 仮にAPIキーが漏洩・無効化されても、
npm installやpip installは標準レート制限で動作し続けます。認証済ユーザーへのレートリミット(10,000 リクエスト/分)は適用されなくなります。
かつ、APIキーはいつでも CLI でローテーション可能であるため、残置が好ましくない場合はローテーションいただくこともできます。
補足:API キーを紛失した場合
以前の API キーが見つからなくても、サポートへの問い合わせは不要です。
同じメールアドレスで再登録すると、リセットコードが届きます。このコードで新しいキーを生成できます。メールにはそのままコピー&ペーストできるコマンドが記載されているため、複雑な手続きは不要です。コードの有効期限が切れた場合は、再度登録するだけで新しいコードを受け取れます。
詳細はトークン管理をご覧ください。
その他
- 既存ユーザーの API キーはそのまま利用可能です。本変更に伴う対応は不要です。
- 古い確認リンクにアクセスすると、再登録の手順を案内するページが表示されます。
- 本変更は、npm・PyPI の両エコシステムに対応しています。
セットアップ手順については Takumi Guard をご参照ください。