アクセス制御について
アクセス制御は「承認済みユーザーしか使えない機能」のことで、部外者や権限のないユーザーからの不正アクセスを防ぎます。
アプリケーション側でユーザー識別を行うから、ユーザーが認証情報を入力する他に、特別な操作をする必要はありません。
そしてアクセス制御は、「認証・認可・監査」の3つの機能で成り立っています。
アクセス制御の機能について
①認証
本人しか知らない情報を使って本人確認を行うことで、パスワードの他にアプリを使ったセキュリティコードや、顔や指紋を使った生体認証もよく使われる。
②認可
利用する機能へのアクセス権限を与えることで、無料ユーザーの利用範囲を制限することができる。画面上の操作以外に、URLから直接アクセスするのを禁止するなどのアクセス制限も考慮する必要がある。
ログインしていない状態で、ユーザーページにアクセスしようとすると・・
ユーザーページのアクセスを禁止され、ログインする様催促される
③監査
あらゆるユーザーの利用状況をログに記録し、そのログからセキュリティ問題が無いかを調査できる。監査ログがどんな機能を持つかは、改めて投稿しようと思います。
調べてみて分かったこと
webアプリの機能を追加してユーザーを獲得する他に、不正アクセスも考慮してアクセス制御を行う必要があるんですね。
「どんなユーザーがいて、どの範囲まで利用できる様にするか」
それを意識して、開発アプリにアクセス制御を入れようと思います。