先生と生徒の会話形式で理解しよう

生徒

「PHPでAPIを作りたいのですが、セキュリティ対策って何をすればよいのでしょうか？」

先生

「APIを安全に運用するためには、CORSの設定やAPIキーの管理がとても重要になりますよ。」

生徒

「CORSってよく聞きますが、どんな仕組みなんですか？なんだか難しそうです…。」

先生

「簡単なたとえを使いながら、初心者でも理解できるように順番に説明していきますね。」

-

1. PHPでAPIセキュリティが必要な理由とは？

PHPでAPIを作ると、外部のアプリやブラウザからアクセスできるようになるため、必ずセキュリティ対策が必要になります。APIはデータへの入口なので、適切に保護しないと、第三者に不正アクセスされたり、データを盗まれる危険があります。

特に、最近はスマートフォンアプリやJavaScriptからのAPI通信が増えており、インターネットを経由してさまざまなリクエストが送られます。そのため、APIの安全性を高めることは、PHPで開発するうえで欠かせないスキルなのです。

2. CORSの基本を理解しよう（初心者向けにやさしく解説）

CORSとは「Cross-Origin Resource Sharing」の略で、日本語では「オリジン間リソース共有」と呼ばれています。簡単に言うと、「どのサイトからならAPIにアクセスしていいかを決める仕組み」です。

たとえば、あなたの家に鍵をかけて、許可した人だけに入ってもらうイメージに近いです。APIも同じように、許可したドメイン（サイト）からのアクセスだけを受け付けることで、不正利用を防ぐことができます。


header("Access-Control-Allow-Origin: https://example.com");
header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type, X-API-KEY");

この設定により、PHPのAPIは「example.com」からのリクエストだけを許可し、その他のサイトからのアクセスはブロックすることができます。これがCORSの基本的な考え方です。

3. なぜCORSが重要なのか？初心者が理解するべき危険性

CORSを設定しないと、どんなサイトからでもAPIを呼び出せてしまい、悪意のあるサイトがあなたのAPIを勝手に利用する可能性があります。実際に、攻撃者が大量のリクエストを送りつけることでAPIを停止させる「DoS攻撃」や、ユーザー情報を盗む攻撃が行われることもあります。

そのため、CORSを適切に設定することは、PHP APIのセキュリティを守るうえでとても重要な対策なのです。

4. APIキーとは？初心者でも理解できる安全の仕組み

APIキーとは「APIを利用するための秘密の合言葉」のようなものです。通常、APIを使う側（アプリやサービス）は、このキーを使って「私は正しい利用者です」と証明します。

APIキーがあることで、誰がAPIを使っているかを判別し、不正アクセスがあればすぐにキーを停止できます。つまり、APIの安全性を高めるための最も基本的な仕組みがAPIキーなのです。


$apiKey = $_SERVER["HTTP_X_API_KEY"];
$validKey = "YOUR_SECRET_API_KEY";

if ($apiKey !== $validKey) {
    http_response_code(403);
    echo json_encode(["error" => "Invalid API Key"]);
    exit;
}

-