# Takumi Guard の初期 API キー配信方式の変更

Takumi Guard の通知先メールアドレスの登録において、API キーが**セットアップメールに直接記載**されるようになり、確認リンクのクリックが不要になりました。セットアップがシンプルになると同時に、セキュリティツールによる招待リンクの消費も解消されました。

## 変更内容

従来は、メール内の確認リンクをクリックして API キーを確認する流れでした。この方式はやや煩雑であり、かつ何らかの仕組み（セキュリティツール等）が事前に内容を確認する場合に、一部環境でセットアップがブロックされるケースもありました。

新しいフローでは、リスク評価の上、確認リンクを廃止しました。

- **変更前:** 登録 → メール内のリンクをクリック → キーを表示 → 手動でコマンドを置き換え、設定
- **変更後:** 登録 → メール内のセットアップコマンドをコピー＆ペーストで完了

メールには API キーの更新コマンドも含まれているため、セットアップ直後に API キーを新しいものに置き換えることもできます。

## 補足：セキュリティに関して

メールに API キーが記載される方式の場合、メールサービス内に API キーが残置されます。
一方、以下の通り、本 API キーは漏洩時も大きなリスクを伴いません。

- **APIキーを介して取得できる情報は、APIキーの最終利用日時のみです。** 今後の機能追加に際しても、この挙動は維持されます。パッケージのダウンロード履歴や、ユーザーのアカウント情報などは取得できません。
- **無効なAPIキーでも、パッケージのブロックは動作します。** 仮にAPIキーが漏洩・無効化されても、`npm install` や `pip install` は標準レート制限で動作し続けます。認証済ユーザーへのレートリミット（10,000 リクエスト/分）は適用されなくなります。

かつ、APIキーはいつでも CLI でローテーション可能であるため、残置が好ましくない場合はローテーションいただくこともできます。

## 補足：API キーを紛失した場合

以前の API キーが見つからなくても、サポートへの問い合わせは不要です。

同じメールアドレスで再登録すると、**リセットコード**が届きます。このコードで新しいキーを生成できます。メールにはそのままコピー＆ペーストできるコマンドが記載されているため、複雑な手続きは不要です。コードの有効期限が切れた場合は、再度登録するだけで新しいコードを受け取れます。

詳細は[トークン管理](/docs/ja/t/guard/features/token-management)をご覧ください。

## その他

- 既存ユーザーの API キーはそのまま利用可能です。本変更に伴う対応は不要です。
- 古い確認リンクにアクセスすると、再登録の手順を案内するページが表示されます。
- 本変更は、npm・PyPI の両エコシステムに対応しています。

セットアップ手順については [Takumi Guard](/docs/ja/t/guard) をご参照ください。