AM
JA
無料で始める
メニュー
機能

認証

ユーザー本人確認を安全に行うためのパスワード方式とマジックリンク方式。

authentication 認証 passwords パスワード magic-links マジックリンク security セキュリティ

認証

AccountMaker(以下「AM」)は認証情報の検証、パスワードハッシュ化、マジックリンク送信を処理するため、アプリ固有のロジックに集中できます。

利用者に合わせて方式を選べます。エンタープライズには従来のパスワード、コンシューマーアプリにはマジックリンクが適しています。

認証方式

Email + Password

認証情報は PBKDF2 でハッシュ化されます。ユーザーはメールアドレスとパスワードで登録し、同じ資格情報で認証します。

User ──▶ Email + Password ──▶ PBKDF2 Verify ──▶ Issue Tokens

ワンタイムのメールリンクによるパスワードレス認証です。ユーザーはリンクをクリックして認証します。

メールAMユーザーメールAMユーザーPOST /auth/send-magic-linkリンク送信リンクをクリックPOST /auth/sign-in-with-tokenAccess + Refresh tokens

Password Reset

認証情報を忘れた場合の安全な復旧フローです。

  1. ユーザーが /auth/send-password-reset でリセットを要求
  2. 有効期限付きトークンを検証済みメールアドレスへ送信
  3. ユーザーが /auth/reset-password で新しいパスワードを設定

トークン有効期間

TokenDefaultPurpose
Access Token1 hourAPI 認可
Refresh Token14 days新しい Access Token を取得
CSRF TokenSessionクロスサイト攻撃の防止

有効期間は Client ごとに設定可能です。

セキュリティ

  • PBKDF2 Hashing: 業界標準のパスワード保存方式
  • Rate Limiting: 総当たり攻撃を防止
  • CSRF Protection: 状態変更リクエストで必須
  • Secure Cookies: HttpOnly / Secure / SameSite をサポート

関連

  • Auth - Auth エンドポイント
  • OAuth - OAuth2/OIDC フロー
  • User - ユーザーリソース
前へ
支払い

Stripe または外部ソース由来の取引を追跡するための支払い記録。