目的

ログイン製品の基本的なセキュリティメカニズムは、アクセストークンを使用することに基づいています。ユーザーが登録や認証を行うたびに、エクソーラログインサーバーはJSON Web Token（JWT）形式のアクセストークンを発行します。JWTには、IDなどのユーザーに関する情報が含まれています。このトークンは、ユーザーがリソースにアクセスするたびに提示する必要があるパスとして提供されます。

JWTを受け取る際、アプリケーションはJWTを発行したのがエクソーラログインサーバーであることを確認する必要があります。このため、トークンには秘密鍵を用いて生成された暗号化されたデジタル署名が含まれています。署名を使用することで、JWTの送信者の身元を確認し、トークンのコンテンツが転送中に変更されていないことを保証します。これらのトークンは通常24時間しか有効ではありません。

トークンに署名するための秘密鍵は、ログインプロジェクトを作成する際に自動的に生成されます。ログイン製品は、JWT署名のために2つの暗号化アルゴリズムをサポートしています。デフォルトのアルゴリズムはHS256です。必要に応じて、他の暗号化アルゴリズム - RS256を選択し、秘密鍵をリセットし、トークン有効期間を変更することができます（JWT署名のセクションを参照）。

ユーザーの機密データの保護を強化するために、ログインプロジェクトにセキュリティ機能を追加してください。ログイン製品では、以下のセキュリティ機能が利用できます：

• OAuth 2.0プロトコルを接続する。OAuth 2.0は、短命のアプリケーションアクセストークンを取得し、ユーザーの介入なしに更新することができる認可プロトコルです。
• シングルサインオン（SSO）の認証方式を設定する。SSOは、ユーザーがゲームにログインする際に認証情報を一度だけ提供することで、複数の関連サービスに対して安全に認証を行うことを可能にします。
• 多要素認証を利用する。多要素認証（MFA）とは、2種類以上の認証を必要とするユーザー認証方法です。MFAを使えば、侵入者がユーザー名とパスワードを持っていても、アカウントにアクセスできないようにすることができます。

「セキュリティ」セクションでログインプロジェクトのセキュリティ設定を確認または変更することができます。