Management API によるセキュリティ検証の実装
パスワード検証
ユーザーがパスワードを変更しようとする際、システムは現在のパスワードを再入力してアイデンティティを確認するよう促すべきです。このステップは、認可されたアカウント所有者のみがパスワードを変更できるようにし、アカウントへの不正アクセスを防ぎます。
| method | path | description |
|---|---|---|
| POST | /api/users/{userId}/password/verify | ユーザー ID による現在のユーザーパスワードの検証。 |
Email / SMS ワンタイムコード検証
ユーザーのメールまたは電話番号に確認コードを送信し、そのコードを入力してアイデンティティを確認するよう促します。これらのエンドポイントは、ユーザーのアイデンティティを確認するか、特定のメールまたは電話番号の所有権を確認するために使用できます。ユーザーが新しいメールアドレスまたは電話番号をアカウントにリンクしようとする際には、この検証ステップを強く推奨します。これにより、提供された情報の信頼性が確保されます。
| method | path | description |
|---|---|---|
| POST | /api/verification/verification-codes | メールまたは電話番号の確認コードを送信。 |
| POST | /api/verification/verification-codes/verify | 確認コードによるメールまたは電話番号の検証。 |