メインコンテンツまでスキップ

セキュリティ検証

認証 (Authentication) 済みのユーザーがパスワードの変更、支払いの実行、給与明細や銀行口座情報などの機密情報へのアクセスといった、機密性の高いまたはリスクの高い操作を試みる場合、追加のセキュリティ対策が不可欠です。このフローは、特に銀行、医療、行政サービスなどの機密性の高いアプリケーションで重要です。

このプロセスは セキュリティ検証 と呼ばれ、ユーザーが正当なアカウント所有者であることを再度確認するために、本人確認を求めます。セキュリティ検証を実装することで、システムは不正アクセスに対する防御を強化し、リスクの高い操作に対して重要なセキュリティ層を追加し、機密データの保護に役立ちます。

Account API によるセキュリティ検証の実装

注記:

まず Account API を有効化 し、ユーザーの access_token を取得してください。

パスワード検証

ユーザーがパスワードを変更しようとする際、システムは現在のパスワードの再入力を促し、本人確認を行う必要があります。このステップにより、正当なアカウント所有者のみがパスワードを変更でき、不正なアカウントアクセスを防止します。

methodpathdescription
POST/api/verifications/password/verify現在のユーザーパスワードを検証します。

メール / SMS ワンタイムコード検証

ユーザーのメールアドレスまたは電話番号に認証コードを送信し、本人確認のためにそのコードの入力を促します。これらのエンドポイントは、ユーザーの本人確認や特定のメールアドレスまたは電話番号の所有権確認に使用できます。特に、ユーザーが新しいメールアドレスや電話番号をアカウントに紐付けようとする場合、この検証ステップを強く推奨します。これにより、提供された情報の真正性が保証されます。

methodpathdescription
POST/api/verifications/verification-codeメールアドレスまたは電話番号の認証コードを送信します。
POST/api/verifications/verification-code/verify認証コードでメールアドレスまたは電話番号を検証します。