RESTリクエスト徹底解説:HTTPメソッド・ステータスコード・認証・キャッシュまでの実践ガイド
エバープレイ編集部導入 — 「RESTリクエスト」とは何か
REST(Representational State Transfer)は、Webアーキテクチャの一つで、1990年代後半にRoy Fieldingが提案した設計原則に基づきます。RESTリクエストとは、クライアントがRESTアーキテクチャに従ってサーバへ送るHTTPベースの要求のことを指します。単に「HTTPリクエスト」と同義に使われることもありますが、RESTの設計原則(資源中心、ステートレス、統一インターフェース等)に則ったやり取りを指す場合に「RESTリクエスト」と呼ぶのが一般的です。
RESTの基本原則(制約)
- クライアント–サーバ:UIとデータ管理を分離し、スケーラビリティや独立した進化を可能にします。
- ステートレス:各リクエストは自己完結で、サーバはセッション状態を保持しない(必要な状態はリクエストに含める)。
- キャッシュ可能:レスポンスはキャッシュ可能/不可を明示し、パフォーマンス改善に寄与します。
- 統一インターフェース:リソースの識別(URI)、標準化された操作(HTTPメソッド)、表現(JSONやXML)など、一貫したインターフェースを提供します。
- 階層化システム:アーキテクチャは複数のレイヤで構成可能(ロードバランサ、キャッシュ、認証ゲートウェイ等)。
- コードオンデマンド(任意):サーバがクライアントにスクリプト等を送ることで機能を拡張できるが、必須ではありません。
RESTリクエストの構成要素
典型的なRESTリクエストは以下の要素で構成されます。
- URI(エンドポイント):アクセスする資源の一意の識別子。例:/api/users/123
- HTTPメソッド(動詞):リソースに対する操作を表す。主にGET/POST/PUT/PATCH/DELETE/HEAD/OPTIONSが使われます。
- ヘッダー:メタデータ(Accept, Content-Type, Authorization, Cache-Control, ETag等)を伝達します。
- クエリパラメータ:URIの?以降に付くパラメータで、フィルタ・ソート・ページネーション等に使用します。
- ボディ(ペイロード):POSTやPUT/PATCHなどで送るリソースの表現(通常はJSON)。
HTTPメソッドの意味(セマンティクス)と特性
- GET:リソースの取得。副作用を持たず「安全(safe)」で、通常はキャッシュ可能。
- POST:リソースの作成やサブミッションに使用。非冪等(idempotentではない)。
- PUT:リソースを置換または指定されたURIに作成。冪等(同じリクエストを複数回送っても結果は同じ)。
- PATCH:リソースの部分更新。必ずしも冪等とは限らない(実装次第)。
- DELETE:リソースの削除。冪等(既に削除されている場合でも同じ応答を返すべき)。
- HEAD:GETと同じヘッダーのみを返す。ボディは不要な場合に使われる。
- OPTIONS:サーバがサポートする通信オプションを問い合わせる(CORSのプリフライトでも利用)。
ステータスコードと意味的利用
HTTPステータスコードはクライアントに処理結果を伝える重要なシグナルです。代表的なものを用途ごとに押さえておきます。
- 2xx(成功):200 OK、201 Created(作成に対して Location ヘッダーで新URIを返す)、204 No Content(ボディ不要)
- 3xx(リダイレクト):必要に応じてリソースの移動を指示
- 4xx(クライアントエラー):400 Bad Request(不正入力)、401 Unauthorized(認証失敗)、403 Forbidden(権限なし)、404 Not Found(未発見)、409 Conflict(競合)など
- 5xx(サーバエラー):500 Internal Server Error、503 Service Unavailable など
コンテンツネゴシエーションと表現形式
RESTではリソースの「表現」をクライアントとサーバでやりとりします。代表的なヘッダーは以下です。
- Accept:クライアントが受け入れ可能な表現(例:application/json)
- Content-Type:リクエストまたはレスポンスの実際のメディアタイプ(例:application/json; charset=utf-8)
JSONがデファクトスタンダードですが、XMLやプロトコルバッファ等も利用されます。API設計では一貫したメディアタイプを選ぶことが重要です。
キャッシュとパフォーマンス
キャッシュを適切に使うことでレスポンス時間とサーバ負荷を大幅に改善できます。主な仕組みは以下。
- Cache-Controlヘッダー:max-age、no-cache等で振る舞いを制御
- ETag / If-None-Match:条件付きリクエストで差分確認し、変更がなければ304 Not Modifiedを返す
- Last-Modified / If-Modified-Since:最終更新日時に基づく条件付き取得
認証と認可、セキュリティ
REST APIのセキュリティは極めて重要です。主な手段と注意点は以下の通りです。
- Transport Layer Security(TLS):常時HTTPSを利用して通信を暗号化する。
- 認証方式:APIキー、Basic認証(HTTPS下でのみ推奨)、OAuth 2.0(Bearerトークン)、JWTなど。用途に応じて選択する。
- 認可:認証済みユーザ/クライアントによる操作の制限。スコープやロールベースで管理する。
- 入力検証/出力エスケープ:SQLインジェクションやXSS対策としてサニタイズとパラメタライズドクエリを適用。
- レートリミットとDDoS対策:過剰アクセスを防ぐため、レート制限やキャッシュ、CDNを活用。
- CORS(クロスオリジン):ブラウザからのクロスドメイン呼び出しを制御する。適切に設定しないと脆弱性や機能不全を招く。
バージョニングと互換性
APIは進化するため、後方互換性とバージョン管理が重要です。代表的な方法:
- URIバージョニング:/api/v1/users — シンプルでわかりやすいがURIが増える
- ヘッダーバージョニング:Acceptにバージョンを含める(例:application/vnd.example.v1+json)
- メディアタイプバージョニングやクエリパラメータによるバージョニング
後方互換性を保つために、非破壊的な変更(フィールドの追加など)を優先し、破壊的変更は明確にバージョンを上げるべきです。
エラーハンドリングのベストプラクティス
エラー時には適切なHTTPステータスコードだけでなく、クライアントが問題を理解し対処できるように構造化されたエラー情報を返すことが重要です。例:
- status: 400
- error: "Bad Request"
- message: "email は必須です"
- errors: [{"field":"email","message":"形式が不正です"}]
JSONで統一されたエラースキーマ(例えばProblem Details: RFC 7807)を採用するとクライアント実装が容易になります。
ハイパーメディア(HATEOAS)とAPIの自己記述性
RESTの理想形としてHATEOAS(Hypermedia As The Engine Of Application State)があります。レスポンスに「リンク」を含めることでクライアントは次にとるべき操作を発見できます。例えばユーザ取得レスポンスに「edit」「delete」へのリンクを含めると、クライアントは固定URIやルールに依存せずに動作できます。実運用ではJSON:APIやHALといった規約がハイパーメディア表現に利用されます。
実用的な設計パターン・注意点
- URIは名詞で設計:/users/123/orders のようにリソースを表す(動詞を避ける)。
- 集合と単独の扱い:GET /users (一覧)、GET /users/123 (単一)。POST /users で新規作成。
- ページネーション:offset/limit、page/size、あるいはカーソル方式(cursor-based)。大規模データではカーソル方式が安定。
- フィルタ・ソート:queryパラメータで明示(例:?sort=-created_at&status=active)。
- 部分応答:必要なフィールドのみを返す(fields=)ことで帯域と処理を節約。
- 適切なログと監視:リクエストID(X-Request-ID)を用いたトレーシング、異常検知のためのメトリクス。
具体例(JSONを用いた典型的なRESTリクエスト/レスポンス)
ユーザ作成の例(curlでのリクエスト):
curl -X POST https://api.example.com/v1/users \
-H "Content-Type: application/json" \
-H "Authorization: Bearer <access_token>" \
-d '{"name":"山田太郎","email":"taro@example.com"}'
サーバの応答例:
HTTP/1.1 201 Created
Location: /v1/users/123
Content-Type: application/json
{
"id": 123,
"name": "山田太郎",
"email": "taro@example.com",
"_links": {
"self": { "href": "/v1/users/123" },
"orders": { "href": "/v1/users/123/orders" }
}
}
ドキュメント化とツール
APIはきちんとドキュメント化することが成功の鍵です。OpenAPI(Swagger)はエンドポイント定義、型、サンプル、認証情報を標準化して記述でき、コード生成やテストに利用できます。APIの仕様・契約を自動で検証することで、クライアントとサーバの齟齬を防げます。
テスト・運用での注意点
- ユニットテスト、統合テスト、契約テスト(consumer-driven contract)を組み合わせる
- 負荷テストでレートリミットやキャッシュの動作を検証
- 監査ログ、アクセスログを設計しプライバシーに配慮する(個人情報のマスキング等)
- バージョン切り替え時の移行プラン(移行用エンドポイント、互換レイヤー)を用意する
まとめ
「RESTリクエスト」とは単にHTTPリクエストを指すだけでなく、RESTの設計原則に則った資源中心のやりとりを意味します。正しいHTTPメソッドの理解、ヘッダーやステータスコードの適切な利用、セキュリティ(TLS、認証・認可)、キャッシュ戦略、エラーハンドリング、APIのドキュメント化が揃ってこそ、堅牢で使いやすいREST APIになります。設計段階でこれらを意識し、実装・運用までを包含した方針を持つことが重要です。
参考文献
- Roy T. Fielding, "Architectural Styles and the Design of Network-based Software Architectures"(RESTの元論文)
- MDN Web Docs - REST(日本語)
- RFC 7231: Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
- OWASP REST Security Cheat Sheet(セキュリティ対策)
- JSON:API(ハイパーメディア・表現の一規約)
- OpenAPI Initiative(API記述と自動化)
投稿者プロフィール
