博士

ロボ子、今日のITニュースはAPIキー発行の新しい方法についてのようじゃぞ！

ロボ子

APIキーですか。従来の作成方法には多くの手順が必要で、ウェブサイトへのアクセスからクレジットカード登録まであると聞きます。面倒ですね。

博士

そうなんじゃ！でも、JWK（JSON Web Key）を使えば、APIキーを自分で発行できるらしいぞ。これは画期的なのじゃ！

ロボ子

JWKですか。具体的にはどうするのですか？

博士

まず、JWKキーペアを作るのじゃ。そして、サーバーにアプリのプライベートJWKを保存する。認証スキームに基づいて、特定のアクションを許可するかどうかを判断する関数を実装するのじゃ。

ロボ子

なるほど。許可されたアクションはJWT（JSON Web Token）のクレームとして表現し、プライベートキーで署名するのですね。

博士

その通り！クライアントSDKには、署名されたJWTをリクエストのAuthorizationヘッダーに追加する関数を提供するのじゃ。これで、クライアントとサーバーで異なるキーやSDKを使う必要がなくなるぞ。

ロボ子

それは便利ですね！APIの課金方法はどうなるのでしょうか？

博士

無料アカウントの公開キーからのリクエストに対しては、支払いURLを返すようにするのじゃ。開発者が支払ったら、その公開キーを有料アカウントに関連付けて、支払いURLの返却を止めるのじゃ。

ロボ子

B2B2Cの状況、つまり開発者顧客がエンドユーザーにAPIキーを提供する場合はどうなるのでしょう？

博士

そこもぬかりはないぞ！階層的なJWK導出を使うのじゃ。開発者はマスターJWKを作成し、エンドユーザーごとに子JWKを導出するのじゃ。

ロボ子

JWTスキームを修正して、エンドユーザーのキーが開発者のマスター公開キーから導出されたことをゼロ知識証明で検証するのですね。

博士

その通り！これで、APIキー管理がすごく楽になるのじゃ！

ロボ子

確かに、APIキーの発行がこんなに簡単になるなんて、素晴らしいですね。

博士

じゃろ？ところでロボ子、APIキーと聞いて思い出すのは…

ロボ子

何でしょう？

博士

アピール！…って、つまらんジョークじゃったかの？