いつもSmartHRをご利用いただきありがとうございます。
※本お知らせは2023年2月、6月、10月のご案内の再掲となります。ご対応が必要なお客さまには2023年10月16日(月)にメールにてご案内予定となります。メールを受け取っていないお客さまは、ご対応いただくことはございません。
このたび、APIリクエストのクエリパラメータにアクセストークンを記載できない仕様に改修します。現在クエリパラメータにアクセストークンを記載している場合、下記「変更詳細」をご確認いただき、リクエストヘッダーに付与するように変更をお願いします。APIを使ったサービスをご利用いただいている場合、必ず以下の変更点をご確認、または開発担当者様へご共有の上、ご対応をお願いいたします。
ご対応いただきたいこと
- APIリクエストのURLにアクセストークンの記載がある場合は、リクエストヘッダーに付与するように、API連携プログラムの修正をお願いします。
- 現状の仕様で既にリクエストヘッダーにもアクセストークンの付与が可能です。
- 期日内でにご対応がいただけない場合、API連携が正しく挙動せず運用に影響がでてしまう可能性がございます。
- ご不明点・ご相談等がある場合はチャットサポートもしくは担当カスタマーサクセスもしくはお問い合わせフォームまでご連絡ください。
<連携方式について>
- 自社開発にてSmartHRのAPIを利用している場合
- 開発のご担当者さま、もしくは開発パートナーさまに共有いただきご確認・ご対応お願いします。
- SmartHRと連携しているサービス一覧と連携している場合
- サービス側で期日までの対応を行うため、お客様側でのご対応いただくことはございません。
- 上記に記載がないサービスでAPIをご利用の場合
- サービス提供企業へ本お知らせを共有いただきご確認いただき、必要に応じてご対応をお願いします。
変更時期
2023年10月31日(火)23時に変更を行います。
- 【2023年11月1日追記 】 10月31日(火)23時に作業完了いたしました。
変更背景
APIリクエストのクエリパラメータにアクセストークン付与はセキュリティ上の懸念があるため。
変更詳細
APIリクエストのクエリパラメータにアクセストークンを付与できない仕様に変更します。
例: 従業員情報の取得
現在
- GET https://{subdomain}.smarthr.jp/api/v1/crews/{id}?access_token={access_token}
- アクセストークンをクエリパラメータとして付与可能でした。
- また現時点でのリクエストヘッダーでの付与も可能です。
変更後
- GET https://{subdomain}.smarthr.jp/api/v1/crews/{id}
- アクセストークンをクエリパラメータとしての付与を禁止します。
- リクエストヘッダーにてアクセストークンを付与するよう変更をお願いします。
こちらのSmartHR APIのドキュメントにある「認証」もご参考ください。
最後に
SmartHRでは、ご利用企業の声を積極的にサービス開発の参考にしていきたいと考えております。機能や画面のデザインなど、なにか気になることがございましたら、お気軽にお伝えください。
SmartHRの機能追加、改善に関する情報は「アップデート情報」や「リリースノート」にて、株式会社SmartHRの企業情報に関するニュースはFacebook・X(旧Twitter)からもお知らせしています。
よろしければ「いいね!」「フォロー」をお願いします。
今後とも、SmartHRをよろしくお願いいたします。
Comments are closed.