※2022年11月30日以降、HubSpot APIキーをHubSpot APIにアクセスするための認証方法として使用することはできなくなります。また、2022年7月15日以降は、HubSpot APIキーが未生成のアカウントでAPIキーを作成することはできなくなります。
その代わりとして、非公開アプリのアクセストークンまたはOAuthを使用して、API呼び出しの認証を行う必要があります。こちらで、この変更の詳細(英語)と、非公開アプリを使用するためにAPIキーを移行する方法をご確認いただけます。
HubSpotでの認証方式
HubSpotのAPI呼び出しを認証する方法には、OAuth、非公開アプリのアクセストークン、APIキーの3つがあります。
連携を構築する際は、次の点に留意してください。
- ほとんどのエンドポイントではAPIキーによる認証をサポートしていますが、APIキーはHubSpot CRMデータに対する読み取りアクセス権と書き込みアクセス権の両方を付与するため、キーが侵害された場合にセキュリティー上のリスクをもたらす可能性があります。ベストプラクティスに従い、非公開アプリのアクセストークン、もしくはOAuthを使用することをお勧めします。いずれも、連携においてリクエストや変更することのできるアカウント内のデータを制限することが可能です。
- 複数の顧客で使用するように意図された連携や、アプリマーケットプレイスに掲載する連携は、HubSpotのOAuthプロトコルを使用したアプリとして開発する必要があります。
認証コードに組み込む方法を含め、それぞれの認証方法の詳細については、以下をご覧ください。
標準のHubSpotアカウントと開発者アカウントのAPIキーの唯一の違いは、APIキーによってアクセスが許可されるアカウントのタイプです。HubSpotのアカウントタイプについて詳しくは、こちら(英語)をご確認ください。
OAuthを使用してリクエストを行うには、認証ヘッダーにOAuthアクセストークンを含めます。
OAuthと同様に、非公開アプリのアクセストークンを使用してリクエストを行うには、認証ヘッダーにトークンを含めます。
APIトークンを使用してリクエストを行うには、hapikey=クエリーパラメーターのキーにAPIトークンを追加します。
HubSpotで開発する場合、本番環境のアカウントで作業する前に、独自のHubSpotテスト環境で作業することをお勧めします。そのために、まずは開発者アカウントを作成します。開発者アカウントを使用すると、アプリを構築し、OAuthを使用してそのアプリの認証を行うことができます。各アカウントには開発者アカウントのAPIキーが付随しているため、テスト用の本番アカウントを作成して、独自のAPIキーを割り当てることができます。