セキュリティ検証 (Security verification)
認証 (Authentication) 済みのユーザーがパスワードの変更、支払いの実行、給与明細や銀行口座情報などの機密情報へのアクセスといった、機密性の高いまたはリスクの高い操作を試みる場合、追加のセキュリティ対策が不可欠です。このフローは、特に銀行、医療、行政サービスなどの機密性の高いアプリケーションで重要です。
このプロセスは セキュリティ検証 (Security verification) と呼ばれ、ユーザーに再度アイデンティティの確認を求め、正当なアカウント所有者であることを証明してもらいます。セキュリティ検証 (Security verification) を実装することで、システムは不正アクセスからの保護を強化し、リスクの高い操作に対して重要なセキュリティ層を追加し、機密データの保護に役立ちます。
Account API によるセキュリティ検証 (Security verification) の実装
注記:
まず Account API を有効化 し、ユーザーの access_token を取得してください。
パスワード検証 (Password verification)
ユーザーがパスワードを変更しようとする際、システムは現在のパスワードの再入力を促し、アイデンティティを確認する必要があります。このステップにより、正当なアカウント所有者のみがパスワードを変更でき、不正なアカウントアクセスを防止します。
| method | path | description |
|---|---|---|
| POST | /api/verifications/password/verify | 現在のユーザーパスワードを検証します。 |
メール / SMS ワンタイムコード検証 (Email/SMS one-time code verification)
ユーザーのメールアドレスまたは電話番号に認証コードを送信し、そのコードを入力してもらうことでアイデンティティを確認します。これらのエンドポイントは、ユーザーのアイデンティティを検証したり、特定のメールアドレスや電話番号の所有権を確認したりするために使用できます。特に、ユーザーが新しいメールアドレスや電話番号をアカウントにリンクしようとする場合、この検証ステップは情報の正当性を確保するために強く推奨されます。
| method | path | description |
|---|---|---|
| POST | /api/verifications/verification-code | メールアドレスまたは電話番号に認証コードを送信します。 |
| POST | /api/verifications/verification-code/verify | 認証コードでメールアドレスまたは電話番号を検証します。 |