メインコンテンツへスキップ

概要

ZAFA PAY APIはBearer Token認証を使用します。すべてのAPIリクエストには、Authorizationヘッダーにアクセストークンを含める必要があります。

アクセストークンの取得

アクセストークンは加盟店管理画面から取得できます。
1

管理画面にログイン

加盟店管理画面(https://app.zafapay.com)にログインします
2

加盟店設定を開く

サイドメニューから「加盟店設定」を選択します
3

アクセストークンを確認

「API Access」欄に表示されているアクセストークンを使用します

API エンドポイント

環境Base URL用途
Sandboxhttps://api.sandbox.zafapay.comテスト・開発用
Productionhttps://api.zafapay.com本番環境
Sandbox環境と本番環境では異なるアクセストークンが必要です。

認証方法

すべてのAPIリクエストでAuthorizationヘッダーを設定します。
cURL
curl https://api.sandbox.zafapay.com/v1/payments \
  -H "Authorization: Bearer YOUR_ACCESS_TOKEN" \
  -H "Content-Type: application/json"
Node.js
const response = await fetch('https://api.sandbox.zafapay.com/v1/payments', {
  method: 'POST',
  headers: {
    'Authorization': 'Bearer YOUR_ACCESS_TOKEN',
    'Content-Type': 'application/json'
  },
  body: JSON.stringify(data)
});

認証エラー

エラーコードHTTPステータス原因
unauthorized401トークンが不正または期限切れ
forbidden403アカウントが無効化されている

エラーレスポンス例

401 Unauthorized
{
  "error": {
    "code": "unauthorized",
    "message": "Missing or invalid authorization header"
  }
}
403 Forbidden
{
  "error": {
    "code": "forbidden",
    "message": "Merchant account is inactive"
  }
}

セキュリティのベストプラクティス

🔒 トークンを安全に保管
アクセストークンを環境変数やシークレット管理サービスに保存し、コードにハードコードしないでください 🛡️ HTTPSを使用
すべてのAPIリクエストはHTTPS経由で行ってください 🖥️ サーバーサイドで呼び出し
アクセストークンをクライアントサイド(ブラウザ)に公開しないでください 🔄 定期的にローテーション
セキュリティのため、定期的にアクセストークンを再発行してください