このページは Cloud Translation API によって翻訳されました。

WebOTP API を使用してパソコンで電話番号を確認する

Chrome 93 以降では、ウェブサイトではパソコンの Chrome で電話番号を確認できます。

Yi Gu

Eiji Kitamura

WebOTP を使用すると、ユーザーはアプリを切り替えることなく、モバイルサイトにワンタップで電話番号確認コードを入力できます。Chrome 93 ではこの機能がパソコンにも拡張されています。詳しくは以下をご覧ください。

はじめに

SMS OTP（ワンタイムパスワード）は、電話番号の確認（認証の 2 番目の手順など）や、ウェブでの支払いの確認によく使用されます。しかし、パソコンからモバイルへの切り替え、SMS アプリの起動、パソコン上での元のウェブサイトの OTP の記憶と入力というフロー全体が煩雑になります。このようにミスを犯しやすく、フィッシング攻撃に対して脆弱です。

WebOTP API を使用すると、ウェブサイトは SMS メッセージからワンタイムパスワードをプログラムで取得し、アプリを切り替えることなく、ユーザーがワンタップでフォームに自動入力できます。SMS には特定の形式があり、送信元にバインドされているため、フィッシングサイトによって OTP が盗まれるリスクも軽減されます。

WebOTP API の動作。

WebOTP でまだサポートされていないユースケースの 1 つは、リモートデスクトップデバイスまたはノートパソコンからの電話番号確認リクエストをターゲットにすることです。この API は、電話機能のあるデバイスでのみ機能します。この API では、他のデバイスで受信した SMS をリッスンできるようになり、Chrome 93 ではユーザーがパソコンで電話番号の確認を完了できるようになっています。

パソコンの WebOTP API

試してみる

前提条件

デスクトップパソコンまたはノートパソコン（Windows、Mac、Linux、ChromeOS）
Google Play 開発者サービスバージョン 20.30.12 以降を搭載した Android スマートフォン。
Chrome 93 以降（パソコン、ノートパソコン、モバイルデバイスの両方）Chrome 93 ベータ版は 2021 年 7 月下旬より利用可能になります。
パソコンの Chrome とモバイルの Chrome の両方で、同じ Google アカウントにログインする必要があります。たとえば、https://myaccount.google.com/ や https://mail.google.com から同期できます。同期を有効にする必要はありません。
Android デバイスで、[設定] -> [Google] から Android にログインする必要があります。
Android デバイスの Chrome 93 をデフォルトのブラウザにする必要があります。
Android デバイスで Chrome 93 がフォアグラウンドまたはバックグラウンドで動作している必要があります。

デモ

このシームレスな電話番号確認フローをパソコンで試すには、次の手順を行います。

パソコンで https://web-otp-demo.glitch.me/ にアクセスします。[確認] ボタンをクリックします。
画面に表示されたテキストメッセージを 2 台目のスマートフォンから Android デバイスに送信します。
SMS が Android デバイスに配信されると、デスクトップで電話番号を確認するかどうかを尋ねるダイアログが表示されます。[送信] をクリックして承認します。
パソコンの場合は、Android デバイスに送信される確認コードが入力フィールドに自動入力されます。

WebOTP API の仕組み

WebOTP API の仕組みを見てみましょう。

…
  const otp = await navigator.credentials.get({
    otp: { transport:['sms'] }
  });
  if (otp.code) input.value = otp.code;
…

SMS メッセージは、送信元にバインドされたワンタイムコードの形式にする必要があります。

Your OTP is: 123456.

@web-otp-demo.glitch.me #123456

最後の行には、バインドされるオリジンが含まれています。先頭に @ が、その後に # で始まる OTP が続きます。

テキストメッセージを受信すると、情報バーがポップアップ表示され、電話番号の確認を求めるメッセージが表示されます。ユーザーが Verify ボタンをクリックすると、ブラウザは自動的に OTP をサイトに転送して navigator.credentials.get() を解決します。その後、ウェブサイトは OTP を抽出し、検証プロセスを完了します。

詳しくは、WebOTP API を使用してウェブ上で電話番号を確認するをご覧ください。

重要なポイント: デモがうまくいかない場合は、次の点を確認してください。 1. すべての前提条件を満たしていることを再度確認します。2. 送信者の電話番号が受信者の連絡先リストに含まれている場合、WebOTP ダイアログは設計上であるため、SMS によってトリガーされることはありません。別の電話番号をお試しください。 3.問題が解決しない場合は、SMS を受信した Android Chrome で chrome://sync-internals を開き、[同期を停止]、[開始をリクエスト] の順に押して、同期を再開します。

パソコンで WebOTP API を使用する方法

SMS による電話番号の確認は広く使用されており、プラットフォームに依存しません。モバイルデバイス向けのユースケースはすべて、デスクトップデバイスにも適用する必要があります。

パソコンで WebOTP API を使用するのはモバイルの場合と同じであるため、ウェブサイトはプラットフォーム間で同じコードをデプロイできます。

ブラウザサポートと相互運用性

この機能は Chrome 同期を利用しているため、現時点では Chrome でのみ動作します。 iOS または iPad OS の Chrome では、SMS の送受信はサポートされていません。

Chromium 以外のブラウザエンジンは WebOTP API を実装していませんが、Safari は input[autocomplete="one-time-code"] サポートと同じ SMS 形式を共有します。Safari では、ユーザーが iMessage の自動同期をオンにしている限り、iOS または iPadOS で、オリジンにバインドされたワンタイムコード形式を含む SMS が一致したオリジンで到着すると、そのメッセージは macOS に転送されます。ユーザーが入力フィールドにフォーカスすると、Safari はユーザーに入力する OTP を提案します。

フィードバック

皆様からのフィードバックは、WebOTP API の改善に役立てさせていただきます。ぜひお試しいただき、ご意見やご感想をお寄せください。

写真撮影: Luis Villasmil、Unsplash