認証方式
アプリを安全に利用するためには、ユーザが本人その人であることを確認する必要があります。このアプリでは、ユーザを確認する手段としてID・パスワードを用いた認証機能を提供します。初期のID・パスワードは匿名サインアップ機能により自動で生成され、ユーザはサインアップ操作なしに匿名アカウント(※1)を使用してアプリの利用を開始できます。また、次回のアプリ起動時は、端末に保存されたログイン資格情報を用いて自動でログインします。
その他、モバイル端末の紛失や盗難リスクに対応するため、PINコードやユーザの生体属性を使用して、ユーザが端末の所有者であることを確認する機能も提供します。
(※1)アカウント登録やアカウント連携が完了すると通常アカウントとなります。通常アカウントは今回の開発範囲外です。
認証機能
このアプリで提供する機能は以下になります。
| 機能 | 概要 |
|---|---|
| 匿名サインアップ | 初期のアカウントIDとパスワードを自動生成して、アカウントを作成します。これにより、ユーザはサインアップ操作なしに匿名アカウントを使用してアプリの利用を開始できます。また、作成したアカウントIDとパスワードは自動ログインで利用するために、ログイン資格情報として端末内の安全な場所(以降、セキュアストレージと呼びます)に保存します。 |
| 自動ログイン | 端末に保存されたログイン資格情報を用いて、Cookieベースの認証処理を自動で実施します。 Cookieベースの認証とは、アカウントIDとパスワードを用いて認証し、CookieでセッションIDを受け取る一般的な認証方式です。セッションIDをCookieに設定することで認証状態を維持します。 |
| ログアウト | ログアウト処理によりバックエンド側で保持しているセッションを破棄します。 |
| 端末認証 | PINコード(またはパスコード)や、指紋・顔・虹彩を用いて端末の所有者であることを確認します。 |
| ログイン資格情報の管理 | ログイン資格情報を、セキュアストレージで管理します。 |