この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Apex 開発者ガイド

Apex 開発者ガイド
Apex の使用開始
Apex の作成
Apex の実行
Apex の呼び出し
匿名ブロック
トリガ
非同期 Apex
Apex メソッドを SOAP Web サービスとして公開
Apex クラスを REST Web サービスとして公開
Apex REST の概要
Apex REST アノテーション
Apex REST のメソッド
Apex REST Web サービスメソッドを使用したデータの公開
Apex REST のコードサンプル
Apex メールサービス
InboundEmail オブジェクトの使用
Visualforce のクラス
JavaScript Remoting
Apex in AJAX
Apex トランザクションおよびガバナ制限
Apex での Salesforce 機能の使用
インテグレーションと Apex ユーティリティ
Apex のデバッグ、テスト、リリース
Apex 言語のリファレンス
付録
用語集
PDF

Apex REST Web サービスメソッドを使用したデータの公開

カスタム Apex REST Web サービスメソッドの呼び出しには、必ずシステムコンテキストを使用します。その結果、現在のユーザの証明書は使用されず、これらのメソッドにアクセスできるすべてのユーザが、権限、項目レベルのセキュリティ、共有ルールに関係なく、全機能を使用できます。そのため、Apex REST アノテーションを使用してメソッドを公開する開発者は、ユーザが機密情報データを不用意に公開しないよう注意する必要があります。

Apex REST API を使用して公開されている Apex クラスメソッドは、デフォルトではオブジェクト権限と項目レベルのセキュリティを適用しません。Apex で SOQL SELECT ステートメントを使用しているときにオブジェクトレベルまたは項目レベルのセキュリティを適用するには、WITH SECURITY_ENFORCED 句を使用します。Security.stripInaccessible メソッドを使用して、クエリやサブクエリの結果からユーザがアクセスできない項目を削除したり、DML 操作の前にアクセスできない sObject 項目を削除したりできます。また、適切な Object または Field Describe Result メソッドを使用することで、Apex REST API メソッドがアクセスするオブジェクトと項目への現在のユーザのアクセスレベルをチェックできます。「DescribeSObjectResult クラス」と「DescribeFieldResult クラス」を参照してください。

また、共有ルール (レコードレベルアクセス) は、with sharing キーワードでクラスを宣言するときのみに適用されます。この要件は、Apex REST API によって公開されるクラスを含むすべての Apex クラスに適用されます。Apex REST API メソッドに共有ルールを適用するには、これらのメソッドを含むクラスを with sharing キーワードで宣言します。with sharing または without sharing キーワードの使用」を参照してください。