App の認証情報
| Credential | Use case |
|---|---|
| API Key & Secret | OAuth 1.0a で認証します。リクエストに署名したり、ユーザートークンを生成するために使用されます。 |
| Access Token & Secret | 自分のアカウントとしてリクエストを実行します(OAuth 1.0a)。 |
| Client ID & Secret | OAuth 2.0 で認証します。認可コードフローに使用されます。 |
| Bearer Token | 公開データエンドポイント向けの App 専用認証に使用されます。 |
App の作成
開発者コンソールを開く
console.x.com にアクセスしてサインインします。
App の権限 (OAuth 1.0a)
- 読み取り専用
- 読み取りおよび書き込み
- 読み取り、書き込み、および DM
- 投稿、ユーザー、および公開データを閲覧できます
- 投稿や「いいね」、その他の変更はできません
- ダイレクトメッセージにはアクセスできません
権限を変更するには、更新されたスコープを持つ新しいトークンを取得するために、ユーザーに App を再承認してもらう必要があります。
OAuth 2.0 App タイプ
| Type | Client | Use case |
|---|---|---|
| Web App | Confidential | 機密情報を安全に保存できるサーバーサイドアプリケーション |
| Automated App / Bot | Confidential | サーバー上で動作する Bot や自動化サービス |
| Native App | Public | 機密情報を安全に保持できないモバイルまたはデスクトップアプリ |
| Single Page App | Public | ブラウザベースの JavaScript アプリ |
コールバックURL
要件
- 開発者コンソールで App の許可リストにコールバック URL を追加する
- URL は、末尾のスラッシュも含めて完全に一致している必要がある
- App ごとに最大 10 個のコールバック URL
- 本番環境では
https://を使用する - ローカル開発では
http://127.0.0.1を使用する(localhostではない)
禁止されているプロトコル
javascript、data、file、ftp、mailto、telnet、およびその他の非標準スキーム。
禁止されているプロトコルの一覧(全リスト)
禁止されているプロトコルの一覧(全リスト)
vbscript, javascript, vbs, data, mocha, keyword, livescript, ftp, file, gopher, acrobat, callto, daap, itpc, itms, firefoxurl, hcp, ldap, mailto, mmst, mmsu, msbd, rtsp, mso-offdap, snews, news, nntp, outlook, stssync, rlogin, telnet, tn3270, shell, sipベストプラクティス
アプリを分けて使用する
開発・ステージング・本番用にそれぞれ異なるアプリを作成してください。
認証情報を定期的に更新する
キーは定期的に、また侵害が疑われる場合には直ちに再生成してください。
最小限の権限
アプリが実際に必要とする権限だけをリクエストしてください。
利用状況を監視する
開発者コンソールを定期的に確認し、API の利用状況を把握してください。
自動アカウントラベル
- ボットアカウントの 設定 に移動します
- あなたのアカウント → 自動化 を選択します
- 管理用アカウントをリンクします
トラブルシューティング
コールバック URL が承認されていないエラー
コールバック URL が承認されていないエラー
コールバック URL が、開発者コンソールに登録されているものと完全に一致していることを確認してください(プロトコルや末尾のスラッシュも含みます)。クエリパラメーターとして渡す際は、その URL を URL エンコードしてください。
App が凍結された
App が凍結された
App が凍結されている場合は、X プラットフォームチームからの通知メールが届いていないか確認してください。異議申し立てには Platform Help Form を使用してください。