6. 認証

6.1. ログイン認証のセッション有効期限はありますか?

デフォルトでは 24 時間となっています。この値は、デベロッパーコンソール上でテナント毎に変更可能です。

セッション有効期限が切れた状態で REST API を呼び出すと、401 Unauthorized エラーがサーバから返却されます。

6.2. 認証時に発行されるセッショントークンはどこに保存されますか?

クライアントSDK ごとに異なります。

  • JavaScritp SDK の場合は、ブラウザ環境では localStorage に保存されます。Node.js ではメモリ上にのみ保持され、永続化されません。
  • Android SDK の場合は、SharedPreference に保存されます。
  • Pure Java の場合はメモリ上にのみ保存されます。
  • .NET SDK の場合は、ユーザフォルダ内の特定ファイルに保存されます。
  • Embedded SDKの場合は、メモリ上にのみ保存されます。
  • Python SDKの場合、ユーザフォルダ内の特定ファイルに保存されます。

6.3. ログイン認証 API の応答が遅い(数百ms)です

パスワード照合時のハッシュ計算に時間がかかるため、応答は遅くなります。

BaaS サーバは、パスワードを BCrypt アルゴリズムを使用して 1024回ストレッチングハッシュ化して保存しています。 (Spring Framework のデフォルトと同じ)。 ログイン時のハッシュ照合時にも同じハッシュ計算を行いますので、どうしても時間がかかってしまいます。

時間がかかるのはセキュリティ上やむを得ません(攻撃者も同じだけの時間を掛けさせるため)ので、ご了承ください。