APIの認証について考える

どうも、こんにちは。Webアプリ開発中のNeji（ねじ）です。

「放っとくとアクセスされまくる」のはよろしくない

ウェブアプリの裏方であるAPIサーバの話です。
APIは、ネット上で公開されるもの（＝URLがわかればアクセスされるもの）であるため、なんの準備も無しに設置すると、悪いヒトたちに攻撃されてしまうリスクがあります。例えば、不正にデータにアクセスされるなど。

だから、公開前に真面目に対策しましょう

最低限、済ませておきたい対策は「認証／認可」ですね。
「正しくログインできた場合、そのアカウントに紐づいた情報にのみアクセスできる」対策が必要です。
現在開発しているアプリは、API側は Rails7 で作成しており、API実装にはGrape、認証にはDeviseを使用しています。

今日の時点で、Deviseによるユーザー認証機能を実装しました。
（先んじて導入していたbrowser-syncと相性が悪いところがあり、途中ちょっとつまづいた）

この Devise と Grape を連携させ、認証が通ったユーザーからのみAPIアクセスを許容するノウハウがあるらしいので、明日しらべて対応したい。
これが済んだら、公開のための最低限の準備が揃う、かなと考えています。

以上、本日の作業進捗でした。