【重要】【Yahoo! ID連携】属性取得API（UserInfoAPI）クエリパラメーターでのAccess Token指定の廃止について

いつも Yahoo! ID連携をご利用いただきありがとうございます。
この度、セキュリティ強化を目的として、 属性取得API（UserInfo API） の仕様を以下のとおり変更いたします。

本APIをご利用中のデベロッパーの皆さまにおかれましては、本変更による影響の有無をご確認のうえ、必要に応じてご対応をお願いいたします。

ご対応いただけない場合、属性取得API（UserInfo API）が ご利用いただけなくなる可能性があります ので、必ず内容をご確認ください。

仕様変更概要

■ 対象
HTTP POST または HTTP GET メソッドにより 属性取得API（UserInfo API）へリクエストを行う際、クエリパラメーターaccess_tokenに Access Token を指定している実装を行っているデベロッパーの皆さまが対象となります。

以下のように、属性取得API（UserInfo API）へのリクエストURLに ?access_token= または &access_token= が含まれている場合は、本対応の対象となります。（HTTP POST メソッドの場合も同様です）

GET /yconnect/v2/attribute?access_token=XXXX HTTP/1.1
Host: userinfo.yahooapis.jp

■ 変更内容
［仕様変更前］
クエリパラメーターによる access_token 指定：可能
［仕様変更後］
クエリパラメーターによる access_token 指定：不可
※ Access Token の指定は、リクエストヘッダー（Authorization）による指定のみ可能となります。

■ 依頼内容
今後も属性取得API（UserInfo API）をご利用いただく場合は、 クエリパラメーターaccess_token を削除し、リクエストヘッダー（Authorization ヘッダー）に Access Token を指定する実装へ改修をお願いいたします。 実装方法の詳細については、 APIアクセス実装方法をご確認ください。

■ 対応期日
2026年8月31日（月）まで

よくあるご質問

Q1. SDKを利用している場合、影響はありますか？

A1.
各種SDK （Yahoo! ID連携 v2 iOS SDK、Yahoo! ID連携 v2 Android SDK）をご利用の場合は、本件（クエリパラメーターによる access_token 指定の廃止）に関するご対応は不要です。 なお、 JavaScript SDKにつきましては、今後の更新および動作保証を終了する予定となっております。詳細については、後日あらためてご案内予定のお知らせをご確認ください。

Q2. 2026年9月1日（火）以降、クエリパラメーター「access_token」で Access Token を指定したリクエストはどのように扱われますか？

A2.
当該リクエストは 順次アクセスが拒否され、属性情報の取得ができなくなります。必ず期日までにご対応をお願いいたします。

以上となります。
今後とも Yahoo! ID連携 をよろしくお願いいたします。