アプリケーション登録とは

アプリケーション登録（以下「アプリ登録」）とは、外部システムをレシートローラーAPIに接続するために、OAuthクライアントとして情報を登録する手続きです。登録することで、レシートローラーは「どこから来たリクエストか」を識別し、許可された範囲のデータだけを返せるようになります。

なぜアプリ登録が必要か

レシートローラーAPIはOAuth 2.0で保護されています。OAuth 2.0では、APIを呼び出すクライアント（外部システム）が事前に身元を登録していることが前提です。登録なしで突然アクセストークンを発行することはできません。

アプリ登録を行うことで、以下のことが実現します。

• 身元証明 — クライアントID・シークレットによってリクエストの送信元を一意に識別
• 認可範囲の宣言 — このアプリがどのスコープを要求するかを事前に登録
• リダイレクト先の固定 — 認可コードを返すURLを限定し、フィッシングを防ぐ
• 監査・取消 — 問題があった場合にアプリ単位でアクセスを取り消せる

登録すると発行されるもの

アプリを登録すると、以下のクレデンシャル・設定値が発行・確定されます。

アプリのライフサイクル

アプリは登録から運用、廃止まで以下のような流れで管理されます。

1. 登録 — アプリ名・リダイレクトURI・要求スコープを設定
2. 審査（user.* を含む場合のみ） — 運営チームによる審査で approved へ
3. 開発 — テスト用のリダイレクトURI（http://localhost など）で動作確認
4. 本番運用 — 本番のリダイレクトURIを追加して切り替え
5. シークレットローテーション — 定期的にまたは漏洩時にシークレットを再生成
6. 廃止 — 利用終了時にアプリを無効化（既存トークンも無効に）

1組織で複数のアプリを登録できます

1つの組織が複数のアプリを登録できます。以下のような分け方が一般的です。

• 環境別 — 開発用 / ステージング用 / 本番用 を別アプリにし、リダイレクトURIや権限を独立管理
• 用途別 — 「自社EC連携」「BIツール連携」「モバイルアプリ」など、別ユースケースを別アプリに
• 権限別 — 読み取り専用アプリ（store.orders.read）と書き込みアプリ（store.orders.write）を分け、最小権限で運用
• クライアント形態別 — サーバー側で動くアプリと、モバイル/SPA向けに公開されるアプリを別登録

Store系アプリと User系アプリ

アプリは要求するスコープによって、大きく2つのタイプに分かれます。両方を1つのアプリに混ぜることはできないため、両方扱う場合は別々に登録します。

詳細はOAuthスコープ一覧と利用可否をご覧ください。

アプリの公開範囲

レシートローラーの開発者ポータルで登録したアプリは、デフォルトで登録した組織内でのみ使えるプライベートアプリです。「他社の店舗オーナーが認可してこのアプリを使う」という公開アプリの提供は、運営チームと別途相談のうえ調整します。

• プライベートアプリ — 自社の店舗・自社の従業員が認可するアプリ。社内ツール・自社EC連携など
• パブリックアプリ（要相談） — 他社の店舗オーナー・他社のユーザーが認可するアプリ。SaaSとして他店舗に提供する場合など

アプリ登録に必要な前提

• レシートローラーの店舗アカウントを持っていること
• 組織のプランがスタータープラン以上であること（フリープランではアプリ登録画面が表示されません）
• オーナーまたは開発者ロールが付与されていること

前提を満たしていない場合は利用開始までの流れを先にご確認ください。

本章の構成

本章では、アプリ登録に関する各論を以下の順で解説します。

• アプリを新規作成する — 登録画面の操作と入力項目の解説
• リダイレクトURLの設定 — 開発・本番環境別の設定とよくある間違い
• 利用目的・接続先（POS／EC／分析など）の申告 — 登録時のメタ情報入力
• User系スコープの審査申請 — user.* を使う場合の追加プロセス

関連ガイド

• 利用開始までの流れ（店舗登録 → スタータープラン → アプリ登録）
• OAuthスコープ一覧と利用可否
• API認証ガイド（OAuth 2.0 認可コードフロー）
• 開発者向けヘルプ目次に戻る