Delivery Access Token
最終更新: 2026年6月25日
DeliveryAccessTokenは、CDA(公開配信)で発行されたコンテンツを読み取るときに使う読み取り専用トークンです。ウェブサイトやアプリのブラウザが発行済みコンテンツを取得する際、このトークンでCDAを呼び出します。発行時に1つのSpaceRoleにバインドし、そのロールがトークンの読み取り範囲(どのContent Typeを読めるか)を定めます。
CMAにおいてDeliveryAccessTokenはSpaceの下位リソースであり、パスは/spaces/{spaceId}/delivery-access-tokensを基準とします。このトークンはブラウザ(クライアント)に公開された状態で動作するため、バインドするロールは必要なContent Typeだけを読む最小権限(least-privilege)に設定しなければなりません(下記セキュリティ: 最小権限バインディングを参照)。
リソース構造
次はDeliveryAccessTokenを生成したときのレスポンスです。sys(システム属性)にトークン値と範囲が入り、本文にnameとdescriptionがあります。
{
"sys": {
"id": "3trmXRM3RqbgSnifyg7PUFQuOAqWOc",
"type": "DeliveryAccessToken",
"space": { "sys": { "id": "HnQ32YiH", "type": "Refer", "targetType": "Space" } },
"createdBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
"createdAt": "2026-06-18T09:24:23.156Z",
"updatedBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
"updatedAt": "2026-06-18T09:24:23.156Z",
"accessToken": "DVRATbQ8mX2vK9pLs7Rf1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
"scopes": ["DELIVERY"]
},
"description": "アパレルショップ公開サイト用の閲覧専用配信トークン",
"name": "ウェブサイト公開配信"
}主なキー:
sys.id: DeliveryAccessTokenの一意の識別子です。単一取得・更新・削除パスの{deliveryAccessTokenId}に入ります。sys.accessToken: CDA呼び出しに使う秘密のトークン値です。発行後の取得でも同じ値がそのまま返るため、露出に注意が必要です(下記セキュリティ節を参照)。sys.scopes: トークンの権限範囲です。DeliveryAccessTokenは発行時に常に["DELIVERY"]です。name: 生成時に指定したトークン名です(例:ウェブサイト公開配信)。description: トークンの説明です(任意)。
上記の例のaccessTokenは秘密の値なので、例示用の文字列に置き換えてあります。実際には長く不透明な文字列であり、発行後に再度取得しても同じ値が返ります。
システム属性 (sys)
すべてのDeliveryAccessTokenは、共通のシステム属性とトークン固有の属性をsysオブジェクトに格納します。space、createdBy、updatedByはReferの形({ "sys": { "id", "type": "Refer", "targetType" } })で入ります。
| 属性 | 型 | 説明 |
|---|---|---|
id | string | リソースの一意の識別子。 |
type | string | リソースの種別。DeliveryAccessTokenは常に"DeliveryAccessToken"。 |
space | Refer<Space> | このトークンが属するSpace。 |
createdBy | Refer<User> | 生成したユーザー。 |
createdAt | string (date-time) | 生成日時。 |
updatedBy | Refer<User> | 最後に更新したユーザー。 |
updatedAt | string (date-time) | 最終更新日時。 |
accessToken | string | CDA呼び出しに使う秘密のトークン値。発行後の取得でもそのまま返るため、外部に露出しないよう扱う必要があります。 |
scopes | string array | トークンの権限範囲。DeliveryAccessTokenは常に["DELIVERY"]。 |
本文の属性:
| 属性 | 型 | 説明 |
|---|---|---|
name | string (1~64) | トークン名。生成時に指定します。 |
description | string (≤128) | トークンの説明。任意です。 |
セキュリティ: 最小権限バインディング
DeliveryAccessTokenは、ブラウザと訪問者に公開された状態でCDAを呼び出すトークンです。そのため、どのSpaceRoleにバインドするかが、そのままこのトークンのセキュリティ境界になります。
- 生成リクエストの
roleには、必要なContent Typeだけを読む最小権限のSpaceRoleのsys.idを入れます。公開配信には読み取り専用ロールを推奨します。 Administratorロールは絶対にバインドしません。 このトークンはクライアントに公開されるため、管理権限を持つロールをバインドすると、その権限がそのまま外部に漏れ出します。また、SpaceRole一覧の先頭の項目を不用意に使わず、意図した最小権限ロールのsys.idを明示的に指定します。accessTokenは発行後も同じ値で取得される秘密の値です。クライアントのビルドに安全に注入しつつ、外部にそのまま露出しないようにします。
(出典: weegloo-delivery-access-tokenスキル・ルール。)
API
以下のすべてのエンドポイントの基準URLはhttps://cma.weegloo.com/v1であり、AuthorizationヘッダーにCMAを認証するBearerトークンが必要です。DeliveryAccessTokenの更新・部分更新にはX-Weegloo-Versionヘッダーは必要ありません。
関連ドキュメント
- SpaceRole: このトークンにバインドするロール(読み取り範囲)を定義。
- CDA 概要: このトークンで発行済みコンテンツを読み取る配信 API。
- Personal Access Token: サーバー・CI 用の Weegloo User トークン。
