Q&A
まず、前提として、普通にユーザー ID とパスワードでログインした場合、サーバー側でセッションを生成して、その ID (セッション ID) をクッキーなどを使ってやりとりします。(セキュリティ上、パスワードの送信はログイン時だけで、アプリでは保持すべきではないと思います。)
で、匿名ログインの場合は、仮ユーザー ID とセッション ID だけ発行して、本登録の際にパスワードを登録することになるかと。
具体的には下記のアプリのような認証の挙動を実現したいと考えています。
図1. ユーザ登録無しでゲストユーザとしてアプリを利用できます
図2, 図3. ユーザ登録無しでログインしているユーザとほぼ同じように振る舞うことができます(自分のフォロー情報をサーバに保存できます/保存した情報を参照できます)
初回起動時に仮IDや仮パスワードを生成して内部に保持して、サーバ内のユーザデータにアクセスしているのだと予想しているのですが、実際にはどのように実現しているのでしょうか?
仮に上記の予想のように仮IDと仮パスワードを自動で発行しているのなら、IDとパスワードの両方を端末内に保持することになると思うのですが、セキュリティ的に問題が発生することはないのでしょうか?
また、android版に限り、フォローを行う際に「データの消失を防ぐため、設定画面から引き継ぎ用のパスワードを発行して下さい」という警告がでるのでiphoneとandroidでなにか別の方法が取られているのではないかと考えています。
スマホアプリは登録不要で使用することができるものが多いですが、実際にどのように実装されているかを解説したものが見つからず、また、セキュリティに関する問題が含まれそうなので、
広く一般的に使われているような定番の方法が知りたいと考え質問させていただきました。
よろしくお願いいたします。
ご回答いただきありがとうございます。
重ねてお聞きしたいのですが、
半永続的に匿名ログインを可能にするには、セッションIDやトークンの期限切れ後に自動的に同一のユーザとして再認証を可能に必要があると思うのですが、このあたりの一般的な流れに関してもお伺いしてもいいでしょうか。
一般的な流れを語れるほど詳しくありませんが、普通にアクセストークンとリフレッシュトークンを分ければいいのでしょうね…。
あなたの回答
tips
プレビュー
