ネイティブモバイルアプリ向けガイド: 複数ビジネスアカウントアクセスと OAuth フロー
Android / iOS のネイティブアプリ向け実装ガイド。アプリ登録時に「認可時に1つのビジネスアカウントへトークンを紐付ける」をオフにすると、user-scoped OAuth トークンが発行されます。/api/v1/me/organizations + ?organizationId= パターンで複数ビジネスアカウントを横断アクセスできます。
アプリケーション登録とは
レシートローラーのアプリケーション登録の概念を説明します。OAuthクライアントとしてアプリを登録することで、クライアントID・シークレット・リダイレクトURIが発行され、API・Webhook連携を始められます。
監視と失敗時の対応
レシートローラーWebhookの配信履歴の見方、監視すべき指標とアラート設計、デッドレターの再配信、よくある障害パターンと復旧手順を解説します。
エンドポイントとバージョニング
レシートローラーAPIのベースURL、バージョニング方針、廃止予告の流れ、現行バージョンの確認方法を解説します。
シークレットのローテーションと安全な保管
レシートローラーのクライアントシークレット・Webhookシークレットを安全に運用するためのローテーション計画、新旧並行期間の使い方、保管のベストプラクティスを解説します。
サポートへの問い合わせ(技術連携)
レシートローラー開発者向けサポートの種類、問い合わせ前のチェックリスト、効率的に解決を進めるための情報添付テンプレートを解説します。
再送・順序・冪等性の設計
レシートローラーWebhookの再送ポリシー、配信順序が保証されない理由、event_idを使った冪等性の実装、デッドレターの扱い、よくあるアンチパターンを解説します。
403/401が返る(権限・スコープ)
API呼び出しで401や403が返るときの原因切り分け。トークン無効・スコープ不足・店舗アクセス権なし・User系審査未通過などの典型ケースを解説します。
リダイレクトURLの設定
レシートローラーの開発者ポータルで設定するリダイレクトURI(コールバックURL)の役割、登録ルール、開発・本番環境の使い分け、よくあるエラーと対処方法を解説します。
Webhookの登録方法
レシートローラーの開発者ポータルでWebhookエンドポイントを登録する手順、購読イベントの選び方、テスト配信、複数エンドポイントの使い分け、削除と一時停止の方法を解説します。
リクエストとレスポンスの基本(JSON)
レシートローラーAPIのリクエスト形式、必須ヘッダー、レスポンス構造、ページネーション、フィルタリング、日時形式の規則を解説します。
Webhookが届かない
Webhookが受信エンドポイントに届かないときの原因切り分け。エンドポイント設定・購読イベント・到達性・署名検証失敗・ファイアウォールなどを順に確認する手順を解説します。
User系スコープでapp_not_approvedが返る
User系スコープを使うとapp_not_approvedエラーが返る場合の確認手順。サンドボックス枠での開発、審査申請、サンドボックス本番化の流れを解説します。
アプリを新規作成する
レシートローラーの開発者ポータルで新しいアプリ(OAuthクライアント)を登録する具体的な手順を説明します。入力項目・バリデーション・作成後のクレデンシャル表示・よくあるエラーまでをカバーします。
署名検証とセキュリティ
レシートローラーWebhookのHMAC-SHA256署名検証の仕組み、検証コードのサンプル(Node.js / Python / C#)、リプレイ攻撃対策、シークレットの安全な管理方法を解説します。