メニュー

Rate this page:

Thanks for rating this page!

We are always striving to improve our documentation quality, and your feedback is valuable to us. How could this documentation serve you better?

Twilio Verifyベストプラクティス

電話番号検証は、エンドユーザーとのオンラインでの関係における重要な第一歩です。 皆さんのWebサイトに新規に登録してくるエンドユーザーのデバイスが彼または彼女の所有物であること(および指定された番号が正確であること)を検証することにより、エンドユーザーのセキュリティーに注意を払っていることをアピールしつつ、スパムや詐欺行為を削減できます。

弊社が多くのインテグレーション事例を見ていく中で(そして多くのご質問にお答えしていく中で)、電話番号検証の実装において役立ちうるベストプラクティスや実践的なガイドラインの数々を見出すことができました。 これらのベストプラクティスはまた、Verifyクイックスタートにも実装されています。 これらをお試しいただき、実装の詳細についていくつかご覧いただくことを推奨します。 さらに、二要素認証ベストプラクティスには、登録の完了やAccount Securityのフローを中心にいくつか重複した内容があります。

ユーザーの登録フローを計画する

電話番号検証またはアカウント検証はエンドユーザーのサインアップ時における重要な第一歩ですが、アプリケーションの登録および使用方法におけるフローの全体像として捉えられるべきです。 電話番号が正当で、デバイスと関連づけられており、かつ新規登録者の所有物であることを確認することで、新しいユーザーにアカウントを発行する前にスパムサインアップを削減できます。

推奨されるアカウント検証、セキュリティー、および使用方法のフロー

現在Twilio社の推奨するサインアップおよび使用方法のフローは以下のとおりです (各項目の成功時のみ、次のステップに進みます) :

  1. Use Phone Verification (Account Verification) to determine if the user has the device they claim currently in possession.
  2. お客との関係が今後も継続する場合:
    1. 継続的な二要素認証の使用方法については、ユーザーを登録します。
    2. Twilioの二要素認証を必須とし、ログイン、高リスクな操作、および高額取引の任意の組み合わせについて保護します。

カスタマイズのオプションを確認する

VerifyはシンプルなAPIですが、カスタマイズ可能な側面がいくつかあります。

トークン長

Verify APIでは新規エンドユーザーに対して配信される検証トークンの長さを設定可能です。 トークンは4文字から10文字の範囲内で設定でき、セキュリティーとエンドユーザーの利便性のニーズに応えることができます。 APIの既定値は4文字であり、新規アカウントの検証にAPIを使用している場合は、これ以上の文字数に設定する理由はあまりありません。 しかしながら、APIをより頻度の高いユーザーの検証に使用する場合はトークン長を増やしてハッカーによるローラー作戦を困難にしたい、といったことが考えられます。

検証メッセージ

The vast majority of use cases don't require customization. By default, there is a single message template sent out through the SMS channel. The SMS message template contains your Application name from the Twilio Console. The English example is:

Your <App Name> verification code is: 1234

また、メッセージはエンドユーザーの電話番号の国コードに基づいて自動的にローカライズ、翻訳されます。 localeパラメーターを送信することで言語の設定を上書きできます。 既定のコード(上記における「1234」など)はTwilioのサービスによって生成、検証が行われます。

標準のセットアップをご使用の場合、キャリアーによる配信料および、エンドユーザーの検証に成功した場合のみ課金が行われます。

独自のワンタイムパスワードロジックの使用

If you already have token validation and generation logic and would like to keep those systems in place, you can do so. We have a feature where you can submit your code to us and utilize our pre-screened message templates and localizations for both text and voice. Contact Twilio Sales and we'll help you enable this option.

制限とタイムアウトを把握する

検証機能の統合の開発を行う際、注意すべきタイムアウトと制限(および設計上の推奨事項)がいくつかあります。

トークンの検証期間

Once generated, tokens are valid for 10 minutes. We are unable to change the timeout for token validity for your application. If your users make another request within the 10 minutes, they will receive the same token. You can poll to see the remaining valid time for a user's request.

検証リクエスト間のタイミングについての推奨事項

不正行為(およびせっかちなユーザー)を防止するには、1電話番号につき1分1リクエストに検証を制限することを推奨します。

Twilioのリクエストの遅延

TwilioではAPIのレスポンスタイムの保証を行っておりません。 しかしながら、ほとんどのVerify APIリクエストは500ミリ秒以下に完了します。 10分のタイムアウトを踏まえ、検証において認められる遅延の大部分はAPIリクエストではなくユーザー入力によるものです。

電話番号検証についての疑問がまだおありですか? 喜んでお手伝いいたします。

Have additional questions about phone verification and our Verify API? We're very happy to talk best practices, design patterns, future-proofing and everything else that can help secure your app and cut your spam. Contact Twilio Sales and we'll help you optimize your unique Verify implementation.

ヘルプが必要ですか?

We all do sometimes; code is hard. Get help now from our support team, or lean on the wisdom of the crowd browsing the Twilio tag on Stack Overflow.