セキュリティ検証
認証 (Authentication) 済みのユーザーがパスワードの変更、支払いの実行、給与明細や銀行口座情報などの機密情報へのアクセスといった、機密性の高いまたはリスクの高い操作を試みる場合、追加のセキュリティ対策が不可欠です。このフローは、特に銀行、医療、行政サービスなどの機密性の高いアプリケーションで重要です。
このプロセスは セキュリティ検証 と呼ばれ、ユーザーが正当なアカウント所有者であることを再度確認するために、本人確認を求めます。セキュリティ検証を実装することで、システムは不正アクセスに対する防御を強化し、リスクの高い操作に対して重要なセキュリティ層を追加し、機密データの保護に役立ちます。
Account API によるセキュリティ検証の実装
注記:
まず Account API を有効化 し、ユーザーの access_token を取得してください。
パスワード検証
ユーザーがパスワードを変更しようとする際、システムは現在のパスワードの再入力を促し、本人確認を行う必要があります。このステップにより、正当なアカウント所有者のみがパスワードを変更でき、不正なアカウントアクセスを防止します。
| method | path | description |
|---|---|---|
| POST | /api/verifications/password/verify | 現在のユーザーパスワードを検証します。 |
メール / SMS ワンタイムコード検証
ユーザーのメールアドレスまたは電話番号に認証コードを送信し、本人確認のためにそのコードの入力を促します。これらのエンドポイントは、ユーザーの本人確認や特定のメールアドレスまたは電話番号の所有権確認に使用できます。特に、ユーザーが新しいメールアドレスや電話番号をアカウントに紐付けようとする場合、この検証ステップを強く推奨します。これにより、提供された情報の真正性が保証されます。
| method | path | description |
|---|---|---|
| POST | /api/verifications/verification-code | メールアドレスまたは電話番号の認証コードを送信します。 |
| POST | /api/verifications/verification-code/verify | 認証コードでメールアドレスまたは電話番号を検証します。 |