← 開発者ガイド

認証モードを選ぶ

SDK を認証する 2 つの方法 — API キーが必要か、session JWT が必要かを判断する決定木。

SDK は 2 つの認証モードをサポートしています。どちらを選ぶかは、SDK を呼び出すコードが実際にどこで 動くかによって決まります — どちらが便利かではありません。

決定木

このコードはあなたのサーバー(Node.js backend、cron job、内部サービス)で動いていますか?API キーモードを使ってください。キーを apiKey として渡します。API キーを取得する を参照してください。

const ai = new Quravin({
  endpoint: process.env.QURAVIN_URL,
  apiKey:   process.env.QURAVIN_KEY,   // secrets ストアから — 絶対にコミットしないこと
});

このコードはユーザーのブラウザで動いていますか?session JWT モードを使ってください。あなたのサーバーがユーザーごとに短期トークンを発行し、 ページに渡します — ブラウザは client_secret や静的な API キーを一切見ません。

const ai = new Quravin.Quravin({
  endpoint: "https://api.example.com/ai-pipeline",
  sessionToken: await fetchToken(),   // 自分の backend エンドポイントから
  onTokenExpired: fetchToken,          // 401 時に自動更新
});

これが重要な理由

API キーはベアラー資格情報です — ページのソースからそれを読み取った人は、あなたのアプリができること すべてに完全にアクセスできてしまいます。session JWT は 1 人のユーザーに限定され、数分で期限切れに なり、ページを読み込むたびにあなたのサーバーが新しく発行します。

経験則: コードがブラウザに配布されるなら、必要なのは session JWT であり、API キーではありません。

次へ:自分のサーバーに統合する では、session JWT を 発行するトークン発行エンドポイントを紹介します。