https://d226lax1qjow5r.cloudfront.net/blog/blogposts/vonage-silent-authentication-is-now-in-beta/silent_auth_beta.png

Vonageサイレント認証がベータ版に

最終更新日 April 16, 2024
#verify-api
#silent-authentication

所要時間:1 分

この記事は サイレント認証 ベータ版 ベータ版. サイレント認証 は現在 一般的に利用可能.

この度 Vonageサイレント認証を発表しました。 ベータ!昨年1月にこの機能の追加を発表しましたが、APIを実装するためのベストプラクティスや効率的な方法がいくつかありますので、ご紹介します。

サイレント認証とは何か?

サイレント認証は、ワンタイムパスワードに代わる新しい認証メカニズムである。 ワンタイムパスワード(OTP)業界標準の二要素認証に代わるものとして考案された新しい認証メカニズムである。OTPのデファクト的な使用方法は、現在、認証のためにコードまたはPINをデバイスに送信するか、次のようなサードパーティツールを使用することです。 Google Authenticatorのようなサードパーティツールを使用して、暗号化された、時間的制約のあるコードを生成し、サーバー側でも設定された認証のためにユーザーが送信できるようにすることです。

Vonage のサイレント認証は、アプリケーションと統合して、HTTP リクエストにシームレスな「ワンクリック」トレースを作成し、ユーザーの真正性を判断することで、このプロセスにおける 2 番目のステップの必要性を排除します。

どうやっているのか?

サイレント認証リクエストでは、Vonageはお客様の加入者識別モジュール(SIM)をチェックし、キャリアの記録と一致することを確認します。Vonageの新しいネットワークAPIの詳細については、こちらをご覧ください。 新しいネットワークAPIと呼ばれるAPIを通じてセキュリティの別の同様のレイヤーを含む、今年初めに導入された。 SIMスワップ.SIMスワップは、ユーザーのSIMカードが使用されているデバイス上でアクティブになっている時間をチェックすることによって動作します。このため、ウェブ・アプリケーションの統合には少し難しいが、ネイティブ・モバイル・アプリケーションではVonageの アンドロイドSDKまたは iOS SDKを使うことができます。

エンドユーザーと開発者の間には、ここで大きなトレードオフがある。基本的に、ユーザーにとっては、認証は1つのシームレスなプロセスになり、認証プロセスはボタンをクリックするだけになる。しかし、その裏側では、開発者はそれを実装するための根本的な複雑さを理解する必要がある。例えば、NodeJSを実行しているウェブ・アプリケーションを使用している場合のワークフローは以下の通りだ:

Diagram showing the Silent Authentication Flow

これには、いくつかのベストプラクティスとバニラ統合が含まれています。 request_id値がクッキーに保存されていることに気づくだろう。ワークフローはサーバーと何度も行き来する必要があるため、このワークフローは以下の攻撃に対して脆弱である。 中間者攻撃.を保存してチェックすることで、これを防ぐことができる。 request_idがワークフロー全体で一致することをチェックすることで、これを防ぐことができる。

なお、上記のワークフロー例はSynchronous実装のものである。Silent Authenticationは、Webhookを使って非同期で使うこともできる。しかし、非同期での実装はドキュメント化するのが難しいので、ここでは前者のみを説明します。非同期呼び出しについては 非同期コールバックについての詳細はこちら.

サイレント認証コードの例

既存の cURLの例がある。 アルファ版のリリースを発表したときに書いた記事しかし、私たちは今、もう少し先に進んでいて、実際に使われている例を見たいと思うでしょう?

問題ない。それを実際に見るには、2つの簡単な方法がある:

その エクスプレスアプリの例とそれに対応する チュートリアルは、APIから戻ってきたリクエストを送信し、解析する最もわかりやすい例を示しています。

よりフレームワーク指向の例としては サイレント認証Laravelアプリのデモを作成しました。そう、これは phpLaravelですが、もしそれがあなたの好みでないなら、実装は読みやすく、他のフレームワークにも移植可能であるべきです。例えば、LaravelはRuby on Railsの影響を受けており、現在では Ruby on RailsやPHPの世界にも影響を与えています、 SymfonyはPythonの DjangoJava の Spring Boot.ファンシーな認証をすべてに!

サイレント認証はVonageの Verify V2- の一部であるため、サイレント認証ワークフローが失敗した場合などに利用できるオプションがあります。 領域がサポートされていないまたはデバイスが WiFi 経由で接続されているために、サイレント認証ワークフローが失敗した場合に利用できるオプションがあります。他のワークフローも利用できるので、SMS経由で配信されるOTPにフォールバックするには、ワークフローの最初に追加すればよい。コード内では、リクエストはcURLで以下のようになります:

curl -X POST https://api.nexmo.com/v2/verify \ -H "Content-Type: application/json" \ -H "Authorization: Bearer XXXXX" \ -d '{"brand": "Your Brand", "workflow": [ {"channel": "silent_auth", "to": "447700900000"}, {"channel": "sms", "to": "447700900000"} ] }'

配列の下に workflow配列の下で、認証を試みる順番にいくつかのオプションを指定できる。

結論

認証によるセキュリティは、最新のアプリケーションにとってますます不可欠なものとなってきている。これが VonageのネットワークAPIは、アプリ内のセキュリティの「ビルディング・ブロック」の始まりと考えることができる理由です。サイレント認証も同様に、SMSやVoiceなどの他の方法に戻る前に、ユーザー認証セキュリティの最初の試みとして追加されるように設計されています。

質問がありますか?次のことができます。 コミュニティSlackに登録するまたは にタグ付けしてください。.

シェア:

https://a.storyblok.com/f/270183/400x385/12b3020c69/james-seconde.png
James SecondeシニアPHPデベロッパー

スタンダップ・コメディーの学位論文を持つ俳優の訓練を受け、ミートアップ・シーンを経てPHP開発に携わるようになった。技術について話したり書いたり、レコード・コレクションから変わったレコードを再生したり買ったりしています。