密碼身分驗證是一種使用用戶登入名稱和密碼進行身份驗證的方法。

密碼身分驗證時，請在請求標頭中指定「X-Cybozu-Authorization」標頭。
標頭的值是將登入名稱:密碼進行Base64編碼後的值。

例如，登入名稱為「Administrator」，密碼為「cybozu」時，在請求標頭中指定以下值：

1
2
3

{
  "X-Cybozu-Authorization": "QWRtaW5pc3RyYXRvcjpjeWJvenU="
}

API權杖認證是一種使用在每個應用程式中生成的API權杖進行認證的方法。
有關產生API權杖的方法，請參閱以下頁面。
產生API權杖

對於API權杖認證，請在請求標頭中指定「X-Cybozu-API-Token」。
標頭的值是為每個應用生成的API權杖。

例如，如果API權杖為「BuBNIwbRRaUvr33nWXcfUZ5VhaFsJxN0xH4NPN92」，請在請求標頭中指定以下值：

1
2
3

{
  "X-Cybozu-API-Token": "BuBNIwbRRaUvr33nWXcfUZ5VhaFsJxN0xH4NPN92"
}

指定多個API權杖

透過指定多個API權杖，可在含有Lookup欄位的應用程式中，通過複製Lookup來源的應用程式的值，以此新增記錄。

可以使用逗號（,）分隔的方式或使用多個標頭，來指定多個API權杖
每次請求最多可指定9個API權杖。如果指定超過10個，則會發生錯誤。
以下為以逗號分隔方式指定多個API Token時的「X-Cybozu-API-Token」標頭範例。

1
2
3

{
  "X-Cybozu-API-Token": "BuBNIwbRRaUvr33nWXcfUZ5VhaFsJxN0xH4NPN92, YuLjjdiOECJjV5ZDbFwh5BZoJJGDx3LtdCE1Dl7E"
}

可使用API權杖操作的API

API權杖可在下列用於操作記錄及應用程式的kintone REST API中使用。

記錄

• 獲取1筆記錄
• 獲取多筆記錄
• 新增1筆記錄
• 新增多條記錄
• 更新1筆記錄
• 更新多條記錄
• 刪除多條記錄
• （大量獲取紀錄）從游標中獲取記錄
• （大量獲取紀錄）建立游標
• （大量獲取紀錄）移除游標
• 填寫記錄回覆
• 刪除記錄回覆
• 更新記錄上的執行者
• 更新1筆記錄的狀態
• 更新多條記錄的狀態
• 批次處理多個應用程式的記錄操作

檔案

• 上傳檔案
• 下載檔案

應用程式

• 表單
  • 獲取欄位清單
  • 新增欄位
  • 變更欄位的設置
  • 刪除欄位
  • 變更表單的佈局
  • 獲取表單的佈局
• 清單
  • 獲取清單設置
  • 變更應用程式的設定
    只有顯示格式不包含「自訂格式」清單的應用才能使用API令牌認證。
• 設定
  • 獲取一般設定
  • 變更一般設定
  • 獲取流程管理設置
  • 變更流程管理的設置
  • 獲取已新增到應用程式的外掛程式清單
  • 將外掛程式添加到應用程式
  • 獲取應用程式的通知條件設置
  • 變更應用程式的通知條件設置
  • 獲取記錄的通知條件設置
  • 變更記錄的通知條件的設置
  • 獲取提醒通知條件的設置
  • 變更提醒通知條件的設置
  • 獲取應用程式存取權限的設置
  • 變更應用程式存取權限的設置
  • 獲取記錄存取權限的設置
  • 變更記錄存取權限的設置
  • 獲取欄位存取權限的設置
  • 變更欄位存取權限的設置
  • 獲取應用程式的動作設置
  • 變更應用程式動作的設定
• 圖表
  • 獲取應用的圖表設置
  • 變更應用程式的設定
• 整個
  • 獲取1個應用程式的資訊
  • 確認應用程式設置在正式環境中的反映狀態
  • 將應用程式設置套用到正式環境
  • 獲取應用程式管理員用備註
  • 變更應用程式管理員用備註

備考

• 每個應用最多可以生成20個權杖。
• 使用API權杖的操作將作為管理員操作來記錄。
• 在組織間存取權限設置中啟用「禁止組織間相互存取」後，只有kintone系統管理員可以產生和查看API權杖。
  組織間的存取權限

Session認證是利用使用者在Web瀏覽器中登入cybozu.com時所建立的Session進行認證的方法。
當從套用於kintone或Garoon的JavaScript檔案中執行kintone REST API時，可以使用Session認證。

從套用於kintone的JavaScript檔案中執行時

您可以透過以下方式之一發送要求來使用會話身份驗證：

方法1：使用kintone.api()

有關詳細的kintone.api()，請參閱以下頁面。
kintone.api()：傳送kintone REST API請求API

若為上傳或下載檔案的API，無法使用kintone.api()。
請改用方法2進行請求。

方法2：附加「X-Requested-With」標頭並使用Web瀏覽器的FetchAPI或XMLHttpRequest

有關「X-Requested-With」標頭的詳細資訊，請參閱以下頁面： 「X-Requested-With」標頭

如果HTTP方法為POST/PUT/DELETE方法，則除了「X-Requested-With」標頭外，還要在查詢參數或請求體中授予CSRF權杖。
有關使用CSRF權杖的請求範例，請參閱以下頁面。
獲取CSRF權杖

從套用於Garoon的JavaScript檔案中執行時

附加「X-Requested-With」標頭，並使用Web瀏覽器的FetchAPI或XMLHttpRequest發送請求。
「X-Requested-With」標頭

如果API的HTTP方法為POST/PUT/DELETE方法，則除了在查詢參數或請求體中添加“X-Requested-With”頭外，還需要添加kintone聯動的Token。
關於kintone集成使用Token的請求示例，請參考以下頁面。
kintone聯動令牌的獲取

OAuth2.0可作為從kintone外部執行API的授權方法。
OAuth2.0

由於無需儲存使用者ID/密碼，因此即使從外部系統也可以安全地存取kintone資料。
欲了解更多信息，請參閱以下頁面。
OAuth用戶端

訪客執行kintone REST API時，僅能使用Session認證。

認證方法的優先順序順序如下：

1. 密碼認證
2. API權杖驗證
3. 使用OAuth用戶端進行驗證
4. Session認證

如果您有IP位址限制，請通過以下方式之一執行此操作：
IP位址限制

• 在「IP位址限制」設定中，允許執行REST API的環境之IP位址。
  有關允許IP位址的方法，請參閱以下頁面。
  設置IP位址限制
• 如果設定了基本身份驗證，請在請求標頭中添加「Authorization」標頭。
  Basic身分驗證
• 授予尚未過期的用戶端證書。
  用戶端憑證

Basic身分驗證

如果已設置Basic身分驗證，請在請求標頭中指定「Authorization」標頭。
Basic身分驗證

標頭的值是「Basic」和「將Basic身分驗證的登入名稱:Basic身分驗證的密碼進行Base64編碼後的值」的組合。
例如，登入名稱為「cybozu」，密碼為「password」，請在請求標頭中指定以下值：

1
2
3

{
  "Authorization": "Basic Y3lib3p1OnBhc3N3b3Jk"
}

如果您要針對訪客空間或訪客空間中的應用程式執行API，則無需包含「Authorization」標頭。

用戶端憑證

可以通過允許使用SecureAccess來頒發用戶端憑證。 有關如何允許使用SecureAccess和頒發用戶端證書的詳細資訊，請參閱以下頁面。
設置SecureAccess

使用用戶端證書運行時，必須在URL的子網域後加.s。
例如，對於「sample.cybozu.com」，URL為「https://sample.s.cybozu.com」。