「Dropbox」のAPI仕様が強化 ～セキュリティとパフォーマンスが向上するも一部アプリでは対応作業の必要も

異なるレベルのスコープが選択された認可画面

　クラウドストレージ「Dropbox」の安全性とパフォーマンスを向上させるため、APIのアップデートを進めている。この影響でAPIの仕様の一部が変更され、古い機能は9月30日に廃止される予定だ。同社は4月12日、公式ブログでその詳細を明らかにするとともに、開発者に注意を呼び掛けている。

　同社によると、今回のAPIで変更されるのは以下の2点だ。古いAPI仕様を前提にしている場合、「Dropbox」のアプリやサービスと新規に連携できなくなったり、意図しない動作をする可能性があるため、アプリを改修するなどの対応が必要だ。

• IDフォーマット：整数値（を文字列で表現したもの）から文字列（[-_0-9a-zA-Z:]+）に変更
• トークンと権限：長期保存型のアクセストークンの代わりに、より安全な短命のアクセストークンを返すように。バックグランドでのアクセスを必要とするアプリで必須となったが、SDKの更新で更新トークンの利用は簡単になっている

　これまで「Dropbox」のAPIはアプリケーションの“タイプ”ごとにアクセス権限を固定していたが、新しいAPIでは認可の際に特定のアクセス権限（スコープ）をリクエストできるようになる。たとえば、初回登録時は必要最小限の“本人確認”権限のみをリクエストし、あとで必要に応じて“フォルダー・ファイルの閲覧”権限を追加要求するといった処理が可能となる。アクセス権限を最小限に絞ることはセキュリティ向上につながるだけでなく、ユーザーがアプリを安心して利用できるようにするためにも重要だ。

　そのほかにも、動的なクライアントシークレットを有効にするOAuthプロトコル拡張機能“PKCE”にも対応しているとのこと。クライアントシークレットの安全性を保証できないパブリッククライアントのために設計されており、既存の手法よりもセキュリティが改善される。