APIスキャン機能では、AeyeScanからAPIに対して巡回・スキャンを行うことが可能です。

また、以下の3つの形式にて、AeyeScanにAPIをインポートすることが可能です。

 ・「OpenAPIファイル」

 ・「cURLコマンド」

 ・「HARファイル」


なお、「APIスキャン機能」はBusinessプランのみ、追加可能なオプションで別途ご契約が必要となります。


手順については、以下をご確認ください。


【手順】

1. ドメイン登録をおこないます。

事前にスキャン対象のAPIのドメインを登録します。

ドメイン登録については、「Step3 ドメインの登録」及び、

必要に応じて「Step4 ドメインアクティベーション」をご実施ください。


2. スキャン一覧から「+新規スキャン」をクリックします。


3. 「サイト名称」を設定し、「トップURL」にAPIのドメインを設定します。


4. 「スキャン基本オプション>サイトタイプ」にて、「API」を選択します。


5. スキャン対象APIをインポートする画面が表示されるので、各型式毎に以下の手順にて、インポートをおこないます。


<OpenAPIファイルインポート>

(1)「OpenAPIファイルインポート 」をクリックします。


(2)ファイル選択ダイアログからOpenAPIファイルを指定します。


(3)取り込んだ、APIが表示されます。


<cURLコマンドインポート>

(1)「cURLコマンドインポート」をクリックします。


(2)「cURLコマンド入力」画面が表示されるので、APIを実行するcURLコマンドを入力し、「登録」をクリックします。



(3)取り込んだ、APIが表示されます。


<HARファイルインポート>

(1)「HARファイルインポート」をクリックします。


(2) ファイル選択ダイアログからHARファイルを指定します。


(3)取り込んだ、APIが表示されます。


※HARファイル とは、ブラウザの通信を記録したjsonファイルです。ブラウザの開発者ツール等から取得可能です。


なお、Bearer認証を使用している場合は、以下の通り、アクセストークンを発行するAPIの「ログイン」の欄にチェックを入れることでアクセストークンを自動で引き継ぐことが可能です。



6. APIキーの設定(フォーム入力値設定)

API キーやトークンの設定が必要な場合、巡回前に 「フォーム入力値設定」から設定することが可能です。

例えば、API キーとAPIトークンがそれぞれ、「API_KEY」と「API_TOKEN」という名前で送信される場合

「フォーム入力値設定」に以下のように設定をおこないます。


7. 上記を設定後、「登録」ボタンをクリックします。


8. 設定が完了したら、巡回を実施します。



9. 巡回完了後、画面遷移図を確認し、各APIに対して正常にアクセスができていることを確認します。


巡回時は、AeyeScanが自動生成したHTML(APIを実行する画面)に巡回を行いAPIの通信内容を取得します。

トップの画面から数えて、3階層目の画面がAPIの実行結果(レスポンス)が表示される画面となりますので、正常に応答が返ってきているかをご確認ください。


API キーやトークンの設定が必要な場合、画面遷移図 の「フォーム入力値変更・再巡回」機能からも値の変更が可能です。

設定をおこなう場合、エラーが発生している画面の「カタツムリアイコン」をクリックします。

「フォーム入力値変更・再巡回」画面にて正しいAPIキーやAPIトークンを設定し、「変更してこの画面から再巡回」ボタンをクリックします。

10. 各APIにて正常にアクセスが出来ることを確認後、スキャンを実行します。



APIスキャン機能 の利用方法は以上となります。