ひとことで言うと
認証は、相手が「誰なのか」を確かめるための本人確認です。
ログイン画面でパスワードを入れたり、スマホに届いた確認コードを使ったりするのは、どれも「本当にその人本人か」を見分けるための動きです。 まずここが通らないと、その先の機能や情報へは進めません。
たとえ話でもう少し詳しく
認証は、建物の受付で行う本人確認に似ています。
- 来た人が名札だけを口で言っても、それだけでは通さない
- 身分証や予約情報を見て、「たしかにその人だ」と確認する
- 本人確認ができてはじめて、中へ案内できる
Webサービスやアプリでも同じです。 IDとパスワード、ワンタイムコード、パスキーなどを使って、アクセスしてきた相手が本当に本人かを確かめます。 この確認が認証です。
よく出る場面・使いどころ
- ログイン画面でメールアドレスとパスワードを確認するとき
- 管理画面へ入る前に二段階認証を求めるとき
- スマホアプリで生体認証を使って本人確認するとき
- API利用時に、呼び出し元の正当性を確かめたいとき
実務で気にするポイント
- パスワードだけに頼らず、必要に応じて二段階認証も組み合わせる
- 「本人かどうかの確認」と「何をしてよいか」は分けて考える
- 認証に成功したあとも、一定時間で再確認が必要な場面を決めておく
- 漏えい時に備えて、再設定や無効化の導線を用意する
注意: 認証は「本人確認」です。ログインできたからといって、何でも見たり操作したりしてよいとは限りません。その先の範囲を決めるのは、別の仕組みである認可です。