การตรวจสอบความปลอดภัย
เมื่อผู้ใช้ที่ผ่านการยืนยันตัวตนพยายามดำเนินการที่มีความอ่อนไหวหรือมีความเสี่ยงสูง เช่น การเปลี่ยนรหัสผ่าน การชำระเงิน หรือการเข้าถึงข้อมูลสำคัญ เช่น สลิปเงินเดือนหรือรายละเอียดบัญชีธนาคาร จำเป็นต้องมีมาตรการความปลอดภัยเพิ่มเติม กระบวนการนี้มีความสำคัญอย่างยิ่งในแอปพลิเคชันที่มีความอ่อนไหว เช่น ธนาคาร การดูแลสุขภาพ และบริการภาครัฐ
กระบวนการนี้เรียกว่า การตรวจสอบความปลอดภัย (security verification) ซึ่งผู้ใช้ต้องยืนยันตัวตนอีกครั้งเพื่อยืนยันว่าตนเองเป็นเจ้าของบัญชีที่ได้รับอนุญาตจริง การนำการตรวจสอบความปลอดภัยมาใช้จะช่วยเสริมการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต เพิ่มชั้นความปลอดภัยที่สำคัญสำหรับการดำเนินการที่มีความเสี่ยงสูง และช่วยปกป้องข้อมูลสำคัญ
ใช้งานการตรวจสอบความปลอดภัยผ่าน Account API
อย่าลืม เปิดใช้งาน Account API ก่อน และรับ access_token สำหรับผู้ใช้
การตรวจสอบรหัสผ่าน
เมื่อผู้ใช้พยายามเปลี่ยนรหัสผ่าน ระบบควรแจ้งให้ผู้ใช้ป้อนรหัสผ่านปัจจุบันอีกครั้งเพื่อยืนยันตัวตน ขั้นตอนนี้ช่วยให้มั่นใจได้ว่าเฉพาะเจ้าของบัญชีที่ได้รับอนุญาตเท่านั้นที่สามารถเปลี่ยนรหัสผ่านได้ ป้องกันการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต
| method | path | description |
|---|---|---|
| POST | /api/verifications/password/verify | ตรวจสอบรหัสผ่านปัจจุบันของผู้ใช้ |
การตรวจสอบรหัสครั้งเดียวทางอีเมล / SMS
ส่งรหัสยืนยันไปยังอีเมลหรือหมายเลขโทรศัพท์ของผู้ใช้ และแจ้งให้ผู้ใช้กรอกรหัสเพื่อยืนยันตัวตน Endpoint เหล่านี้สามารถใช้เพื่อตรวจสอบตัวตนของผู้ใช้ หรือยืนยันความเป็นเจ้าของอีเมลหรือหมายเลขโทรศัพท์เฉพาะ ขั้นตอนการตรวจสอบนี้แนะนำเป็นอย่างยิ่งเมื่อผู้ใช้พยายามเชื่อมโยงอีเมลหรือหมายเลขโทรศัพท์ใหม่กับบัญชี เพื่อให้มั่นใจในความถูกต้องของข้อมูลที่ให้มา
| method | path | description |
|---|---|---|
| POST | /api/verifications/verification-code | ส่งรหัสยืนยันทางอีเมลหรือหมายเลขโทรศัพท์ |
| POST | /api/verifications/verification-code/verify | ตรวจสอบอีเมลหรือหมายเลขโทรศัพท์ด้วยรหัสยืนยัน |