セキュリティ保護
体験を保護するためには、ドメインホワイトリストとAPIキーの2つのオプションがあります。
ドメインホワイトリスト
展開コードスニペットを他人が自分の公開ウェブサイトにホストすることを防ぐ、低レベルのセキュリティを提供します。ただし、悪意のあるユーザーが他の方法で有効なセッショントークンを要求する可能性は残っています。
APIキー
あなたの秘密キーを使用してセッショントークンを生成することを要求することで、最高レベルのセキュリティを提供します。この方法では、APIキーを秘密に保ちながらセッショントークンを生成するために独自のサービスを構築し、ホストする必要があります。
ドメインホワイトリスト
デジタルヒューマンをウェブサイトに展開する前に、ドメインをホワイトリストに登録する必要があります。ホワイトリストに登録されたドメインは、アドミンパネル内で設定できます。
これを行うには、ウェブサイトに展開したいデジタルヒューマンに移動し、「セキュリティ」セクション内の「Allowed Domains / 許可されたドメイン」フィールドに自分のドメインを追加してください。
このプロセスで問題が発生した場合は、カスタマーサクセス担当者にご連絡ください。これらのドメインがホワイトリストに登録され、同意なしにデジタルヒューマンが使用されないようにいたします。
たとえば、コードスニペットを https://your-domain.com/example/ のURLを持つウェブページに挿入する場合、ドメイン https://your-domain.com をホワイトリストに登録しておく必要があります。
会話のセキュリティを確保するため、https://your-domain.com の外部ではデジタルヒューマンとのセッションを開始することはできません。
コンテンツセキュリティポリシー
コンテンツセキュリティポリシーをお持ちの場合は、Referrer-Policy strict-origin-when-cross-origin に設定する必要があります。これにより、貴社のウェブサイトがページリファラーをデジタルヒューマンのフレームに渡して検証が可能になります。
APIキー
APIキーアプローチを安全に構築するには、セッショントークンを生成し、それをフロントエンドに返す独自のバックエンドサービスを構築する必要があります。
バックエンドサービスは公開インターネットにアクセスできないように保護するべきです。そうしないと、悪意のあるユーザーがあなたのサービスを使用してデジタルヒューマンのセッショントークンを取得する可能性があります。
セッショントークンを生成するために、以下の仕様を持つ公開APIを提供しています:
リクエスト: POST
URL: /session-service/v1/create-session
ボディ: { personaId: 'your-persona-id', apiKey: 'your-secret-api-key' }
例:JavaScript
const connectionUrl = 'http://api.uneeq.io'; const personaId = 'your-persona-id'; const apiKey = 'your-secret-api-key'; fetch(`${connectionUrl}/session-service/v1/create-session`, { method: 'POST', body: JSON.stringify({ personaId, apiKey }), headers: { 'Content-Type': 'application/json' } })
例:CURL
curl -X POST "http://api.uneeq.io/session-service/v1/create-session" \
-H "Content-Type: application/json" \
-d '{"personaId":"your-persona-id","apiKey":"your-secret-api-key"}'APIキーをフロントエンドアプリケーションに含めたり、公開したりしないでください。
最終更新日 February 12, 2025