Skip to main content

概要

ZAFA PAY APIはBearer Token認証を使用します。すべてのAPIリクエストには、Authorizationヘッダーにアクセストークンを含める必要があります。

アクセストークンの取得

アクセストークンは加盟店管理画面から取得できます。
1

管理画面にログイン

加盟店管理画面(https://app.zafapay.com)にログインします
2

加盟店設定を開く

サイドメニューから「加盟店設定」を選択します
3

アクセストークンを確認

「API Access」欄に表示されているアクセストークンを使用します

API エンドポイント

環境Base URL用途
Sandboxhttps://sandbox-orchestration.zafapay.comテスト・開発用
Productionhttps://orchestration.zafapay.com本番環境
Sandbox環境と本番環境では異なるアクセストークンが必要です。

認証方法

すべてのAPIリクエストでAuthorizationヘッダーを設定します。
cURL
curl https://sandbox-orchestration.zafapay.com/v2/payments \
  -H "Authorization: Bearer YOUR_ACCESS_TOKEN" \
  -H "Content-Type: application/json"
Node.js
const response = await fetch('https://sandbox-orchestration.zafapay.com/v2/payments', {
  method: 'POST',
  headers: {
    'Authorization': 'Bearer YOUR_ACCESS_TOKEN',
    'Content-Type': 'application/json'
  },
  body: JSON.stringify(data)
});

認証エラー

エラーコードHTTPステータス原因
UNAUTHORIZED401トークンが不正または期限切れ
FORBIDDEN403アカウントが無効化されている

エラーレスポンス例

401 Unauthorized
{
  "error": {
    "code": "UNAUTHORIZED",
    "message": "Missing or invalid authorization header"
  }
}
403 Forbidden
{
  "error": {
    "code": "FORBIDDEN",
    "message": "Merchant account is inactive"
  }
}

セキュリティのベストプラクティス

トークンを安全に保管

アクセストークンを環境変数やシークレット管理サービスに保存し、コードにハードコードしないでください

HTTPSを使用

すべてのAPIリクエストはHTTPS経由で行ってください

サーバーサイドで呼び出し

アクセストークンをクライアントサイド(ブラウザ)に公開しないでください

定期的にローテーション

セキュリティのため、定期的にアクセストークンを再発行してください