セキュリティ保護
体験を保護するためには、ドメインホワイトリストとAPIキーの2つのオプションがあります。
ドメインホワイトリスト
展開コードスニペットを他人が自分の公開ウェブサイトにホストすることを防ぐ、低レベルのセキュリティを提供します。ただし、悪意のあるユーザーが他の方法で有効なセッショントークンを要求する可能性は残っています。
APIキー
あなたの秘密キーを使用してセッショントークンを生成することを要求することで、最高レベルのセキュリティを提供します。この方法では、APIキーを秘密に保ちながらセッショントークンを生成するために独自のサービスを構築し、ホストする必要があります。
ドメインホワイトリスト
デジタルヒューマンをウェブサイトに展開する前に、ドメインをホワイトリストに登録する必要があります。これを行うには、ウェブサイトに展開したいペルソナに移動し、「セキュリティ」セクション内の「Allowed Domains / 許可ドメイン」フィールドに自分のドメインを追加してください。
現時点では、DIP以外に設定する必要があり、デジタルヒューマン株式会社にて行います。お手数ですがサポートセンターからご連絡ください。
たとえば、コードスニペットを https://your-domain.com/example/ のURLを持つWebページに挿入する場合、ドメイン https://your-domain.com をホワイトリストに登録しておく必要があります。URLの末尾にある「/」は不要です。
会話のセキュリティを確保するため、https://your-domain.com 以外のドメインでは、デジタルヒューマンとのセッションを開始することはできません。
なお、開発用途として例外的に http://localhost:3000 や http://127.0.0.1:8001 などのURLも登録が可能です。
コンテンツセキュリティポリシー
コンテンツセキュリティポリシーをお持ちの場合は、Referrer-Policy strict-origin-when-cross-origin に設定する必要があります。これにより、貴社のウェブサイトがページリファラーをデジタルヒューマンのフレームに渡して検証が可能になります。
APIキー
APIキーアプローチを安全に構築するには、セッショントークンを生成し、それをフロントエンドに返す独自のバックエンドサービスを構築する必要があります。
バックエンドサービスは公開インターネットにアクセスできないように保護するべきです。そうしないと、悪意のあるユーザーがあなたのサービスを使用してデジタルヒューマンのセッショントークンを取得する可能性があります。
セッショントークンを生成するために、以下の仕様を持つ公開APIを提供しています:
リクエスト: POST
URL: /session-service/v1/create-session
ボディ: { personaId: 'your-persona-id', apiKey: 'your-secret-api-key' }
例:JavaScript
const connectionUrl = 'http://api.uneeq.io'; const personaId = 'your-persona-id'; const apiKey = 'your-secret-api-key'; fetch(`${connectionUrl}/session-service/v1/create-session`, { method: 'POST', body: JSON.stringify({ personaId, apiKey }), headers: { 'Content-Type': 'application/json' } })
例:CURL
curl -X POST "http://api.uneeq.io/session-service/v1/create-session" \
-H "Content-Type: application/json" \
-d '{"personaId":"your-persona-id","apiKey":"your-secret-api-key"}'APIキーをフロントエンドアプリケーションに含めたり、公開したりしないでください。
最終更新日 February 12, 2025