テクニカルガイド
パスキー基礎
FIDO2/WebAuthn
公開鍵方式
管理操作マニュアル
初期登録
ユーザ登録
APIキーの発行
トランザクション
クライアントライブラリ
Ruby
Python
PHP
Java
Node.js
Go
.NET

1. 主題(結論)

Web標準(WebAuthn)

パスキーは、端末内の秘密鍵で署名し、サーバが公開鍵で検証する公開鍵認証をWeb標準(WebAuthn)として提供する仕組み。

顔認証・指紋認証・PINは、秘密鍵を使う前に端末が行う ユーザー検証(User Verification / UV)

生体情報やPINがサーバへ送られて照合されるのではなく、サーバが得るのは「署名が検証できた」という結果。

2. 標準仕様の位置づけ

FIDO2 / WebAuthn

Webサイト(RP)がブラウザ経由で認証器を利用するためのAPI仕様

CTAP(FIDO Alliance)

クライアントと認証器がやり取りする仕様(ローミング認証器等)

本ページ SaaSのWebログインに直結する WebAuthn を中心に説明。

3. 何がどこにあるか

責任分界と保存データ

WebAuthnは「サーバが公開鍵を持ち、端末が秘密鍵を持つ」構造。

サーバ(RP:あなたのSaaS)

  1. 公開鍵(public key)
  2. credential ID
  3. ユーザーとの紐付け、関連メタ情報(署名カウンタ等)

端末(Authenticator:スマホ/PC内蔵/セキュリティキー等)

  1. 秘密鍵(private key)※端末外へ出ない

効果:パスワードのような「サーバが保持する共有秘密」を原理的に削減。