APIのより安全なご利用のためにパーソナルアクセストークンの改善(PAT v2)や、チーム側での制御機能などをβリリースしました

今回のリリース内容

従来の esaのパーソナルアクセストークン (PAT v1)は readwrite の2種類しかなく、チーム側でパーソナルアクセストークンによるAPIの利用を制限することもできませんでした。

2025-09-05.png (337.5 kB)

今回のリリースにより、新たに次のようなことが可能になります。

詳細なスコープを持つ PAT v2を使って必要最小限の操作が可能なトークンを発行する

  • 例: read:post スコープのみを持つトークンを発行して、スクリプトで記事の取得を行う
  • image.png (175.4 kB)

PAT v1 や esaのOAuthログインを使うアプリによるAPIアクセスをチーム毎に制御する

  • 以下の制御が可能になります
    • すべて許可
    • 読み込み (read) アクセスのみ許可
    • すべて拒否
image.png (297.9 kB)

PAT v2 によるAPIアクセスをチーム毎に制御する

  • 以下の制御が可能になります
    • すべて許可
    • ユーザーによるリクエストとチームownerの承認により許可する
    • すべて拒否
image.png (314.0 kB)

「リクエストの承認により許可」を設定した場合

  • Owner によりAPIアクセスポリシーを複数設定することができ、それぞれのポリシーで利用可能なスコープ等を設定することができます
  • ユーザーからのPAT v2 リクエストを Owner が承認する時は、リクエスト毎にどのアクセスポリシーを適用するか選択する必要があります
  • ユーザーが実際に利用できるスコープは、ユーザーが希望するスコープと、アクセスポリシー側で定められたスコープの重なる範囲となります
image.png (504.3 kB)

APIアクセスの監査ログを表示、エクスポートする

  • ログは180日間保存されます
image.png (139.9 kB)

PAT v2をはじめとするこれらの新機能は 今後すぐにリリースが予定されているesa公式のMCPサーバー を安全にご利用いただくことを第一の目的として実装いたしましたが、一般的なAPIのご利用の際にもよりセキュアにご利用いただけると思います。

今後数ヶ月間はβ機能としてのご提供になり、一部の仕様は変更される可能性がありますのでご了承ください。
ご要望や不具合などがありましたら、お気軽にご連絡ください。

(\( ⁰⊖⁰)/) ヒトコト

お久しぶりです。
一連の新機能の実装はなかなか大変でしたが、結構良いものができたんじゃないかなと思います。
APIをご利用の際はぜひお試しください。

[ProTip] Webhookでdocs.esa.ioの更新通知を受け取ることができます

Enjoy "(\( ⁰⊖⁰)/)"
https://esa.io

END

  • Close