認証モードを選ぶ
SDK を認証する 2 つの方法 — API キーが必要か、session JWT が必要かを判断する決定木。
SDK は 2 つの認証モードをサポートしています。どちらを選ぶかは、SDK を呼び出すコードが実際にどこで 動くかによって決まります — どちらが便利かではありません。
決定木
このコードはあなたのサーバー(Node.js backend、cron job、内部サービス)で動いていますか?
→ API キーモードを使ってください。キーを apiKey として渡します。API
キーを取得する を参照してください。
const ai = new Quravin({
endpoint: process.env.QURAVIN_URL,
apiKey: process.env.QURAVIN_KEY, // secrets ストアから — 絶対にコミットしないこと
});
このコードはユーザーのブラウザで動いていますか?
→ session JWT モードを使ってください。あなたのサーバーがユーザーごとに短期トークンを発行し、
ページに渡します — ブラウザは client_secret や静的な API キーを一切見ません。
const ai = new Quravin.Quravin({
endpoint: "https://api.example.com/ai-pipeline",
sessionToken: await fetchToken(), // 自分の backend エンドポイントから
onTokenExpired: fetchToken, // 401 時に自動更新
});
これが重要な理由
API キーはベアラー資格情報です — ページのソースからそれを読み取った人は、あなたのアプリができること すべてに完全にアクセスできてしまいます。session JWT は 1 人のユーザーに限定され、数分で期限切れに なり、ページを読み込むたびにあなたのサーバーが新しく発行します。
経験則: コードがブラウザに配布されるなら、必要なのは session JWT であり、API キーではありません。
次へ:自分のサーバーに統合する では、session JWT を 発行するトークン発行エンドポイントを紹介します。