ユーザー / 認証
ユーザー / 認証
概要
Fincs サービスの入口となる 認証機能。新規登録・ログイン・パスワード再設定・メールリンク式(パスワードレス)の 4 経路を提供する。
主な使い方:
- 新規登録: 通常パスワード式 + メールリンク式の 2 経路。会員・講師(招待制)の入口
- 通常ログイン: メールアドレス + パスワード(または外部認証経由)でログイン
- メールリンク式(パスワードレス): メールに送信される 4 桁認証コードでログイン(パスワード不要)
- パスワード再設定: パスワードを忘れた際の復旧経路(メール認証コード経由で 3 段階)
- 運営アドミンログイン: 運営アドミンには専用のログイン入口があり、通常ユーザーと別経路
ログイン状態は内部的にアクセストークンとリフレッシュトークンの組み合わせで維持され、ユーザーは一定時間ログイン状態が継続する。複数デバイスでの並行利用も可能(それぞれ独立のセッション)。
利用シナリオ
シナリオ 1: 新規ユーザーの登録 → 初回ログイン
新規ユーザーが登録画面でメールアドレス・パスワードを入力して登録。本登録完了後、自動ログイン状態となりサービスを利用可能。後続の入会フロー(講座 / 入会フロー)で講座契約に進む。
シナリオ 2: パスワードを忘れた
ユーザーが「パスワードを忘れた方」リンクからパスワード再設定画面へ。メールアドレスを入力 → 受信した 4 桁認証コードを入力 → 新パスワードを設定 → 再ログインで復旧完了。
シナリオ 3: メールリンク式ログイン
パスワードを覚えていないが頻繁な再設定もしたくないユーザーが「メールアドレスでログイン」を選択。メールアドレスを入力 → 受信した 4 桁認証コードを入力 → ログイン完了(パスワード不要)。
シナリオ 4: 運営アドミンログイン
運営アドミンは通常ユーザーとは別の専用ログイン入口を使用してログイン。運営側のツール群へアクセスする。
よくある失敗ケース
- 登録メールが届かない: 迷惑メール扱い・受信拒否設定の影響で認証コードが届かないケース。CS で再送依頼や受信設定確認を案内
- メール認証コードの入力失敗 3 回: メールリンク式ログイン / パスワード再設定で使う 4 桁認証コードは、3 回失敗すると当該コードが無効化され再送付が必要(この 3 回は固定値)
- 既登録メールアドレスでの再登録試行: 同じメールアドレスで再登録しようとするとエラー。パスワード再設定経路への誘導
- 「アカウントロックされた」相談: ログイン失敗によるアカウントロックの仕様はないため、ロックを理由にログイン不可になることはない。ログイン不可は別原因(メール未登録・ログイン方法の取り違え・メール認証コードの無効化等)を確認。なお認証基盤側の保護として、短時間にパスワード入力を連続で失敗し続けると一時的に試行が制限されることがある(時間経過で自動回復)
利用可否(権限別)
認証は講座スコープに依らないため、横断軸が中心。
講座権限軸
講座権限軸の差分はほぼ無し(認証自体は講座と独立)。新規登録(本ページが扱う通常登録・メールリンク式登録)はいずれも会員として作成する経路で、講師(メイン講師)アカウントの作成は運営アドミン側の責務(運営にお問い合わせください)であり本ページのスコープ外。
横断軸
| 操作 | 運営アドミン | テストユーザー | 投稿禁止 |
|---|---|---|---|
| 通常ログイン | (通常と同じ + 専用経路あり) | (通常と同じ) | (通常と同じ、認証自体は可) |
| 新規登録 | ×(運営アドミン経由で作成) | ×(運営アドミン経由で作成) | × |
| パスワード再設定 | ○ | ○ | ○ |
| メールリンク式登録 | × | (通常と同じ) | (通常と同じ) |
機能詳細(ふるまい)
新規登録
新規登録は 2 経路:
- 通常登録(パスワード式): メールアドレス・パスワードを設定して登録。同時に外部認証連携(Firebase)でも本人確認が完了
- メールリンク式登録: パスワードを設定せず、メールアドレスのみで登録 → 4 桁認証コードで本人確認 → 本登録完了の 3 段階フロー
新規登録経路は会員向けで、講師アカウントは運営アドミン側で別途作成される(運営にお問い合わせください 参照)。同じメールアドレスで既登録がある場合はエラー扱い。
ログイン
ログインは 3 経路:
- 通常ログイン: メールアドレス + パスワードで認証
- メールリンク式ログイン: メールアドレスのみ → 4 桁認証コードで本人確認
- 運営アドミンログイン: 運営アドミン専用の入口(一般ユーザーとは経路を分離)
ログイン成功時には履歴が記録される。ログイン失敗によるアカウントロックの仕様はない(よくある失敗ケース参照。内部記録の詳細は dev 下段)。
ログイン方法の確認・前回方法の強調(v2.31.1)
複数のログイン方法(メールアドレス / 外部アカウント連携)を提供しているため、ユーザーが「どの方法で登録したか」を忘れて別方法でログインを試み、結果として意図せず別アカウントを新規作成してしまうケースがある。これを防ぐための導線を用意している:
- 前回ログイン方法の強調表示: ログイン画面では、前回利用したログイン方法のボタンを「前回の方法でログイン」として枠線付きで強調し、「前回は◯◯でログインしました。」と案内する。他の方法のボタンは控えめ(淡色)に表示され、ホバー / フォーカスで通常表示に戻る
- ログイン方法確認画面: 外部アカウント連携でログインを試みたが未登録だった場合、すぐに新規登録へ進ませず「ログイン方法確認画面」を挟む。「ログインに失敗しました/ログイン方法をお間違えではありませんか? お持ちのアカウントの方法でログインしてみてください。」と表示し、「はい(ログインし直す)」「いいえ(新規登録する)」を選ばせる。これにより、既存アカウントを持つユーザーの二重アカウント作成を抑止する
- ログインが必要な画面への未ログインアクセス: 認証が必要な画面に未ログインで到達した場合も同じ確認画面を表示し(「ログインが必要です/既にアカウントをお持ちですか?」)、ログインと新規登録を選ばせる(入会フローでの「既存アカウント確認」ステップと同一画面。講座 / 入会フロー 参照)
- 新規登録画面の導線改善: 新規登録画面に「すでに Fincs アカウントをお持ちですか? ログインはこちら」の案内を追加。ログイン / 新規登録画面の見出し・ボタン文言も簡潔化(「で続ける」→「でログイン」等)
パスワード再設定
3 段階フロー:
- 認証コード送付申請: メールアドレスを入力すると 4 桁認証コードがメール送信される
- 認証コード検証: 受信した認証コードを画面に入力して本人確認
- 新パスワード設定: 新しいパスワードを設定して完了 → 以後新パスワードでログイン可
認証コードには有効期限があり(運用設定)、期限切れの場合は再送付が必要。
メールリンク式(パスワードレス)
3 段階フロー:
- メール一時登録(未ログイン状態): メールアドレスを入力すると認証コードが送信される
- 認証コード検証: 認証コード入力で本人確認
- 本登録 / ログイン完了: パスワード不要で利用開始
新規登録だけでなく、既存ユーザーのログイン経路としても利用される。
セッション維持・自動更新
ログイン後のセッションは内部的にアクセストークン + リフレッシュトークンで管理:
- 一定時間ごとにアクセストークンが自動更新される(ユーザー操作不要)
- リフレッシュトークンの有効期限が来るとログアウト状態となり、再ログインが必要
- 複数デバイスでの並行利用が可能(PC とスマホで同時ログイン等)。それぞれ独立したセッション
ログアウト時のブラウザ保存データの一掃(v2.33.5)
ログアウト時に、ブラウザ内に保存されたログイン関連データ(ログイン状態・認証情報・オフライン用のキャッシュ等)をまとめて削除するようにした(v2.33.5 / FIN-543):
- 共有端末で前のユーザーの情報が残る・別アカウントでログインし直したときに古いデータが混ざる、といったリスクを避けるためのセキュリティ上の措置
- 削除に一部失敗しても、ログアウト自体は完了する(残ったデータは次回起動時などに順次整理される)
関連ドキュメント
- 関連 PSD:
- ユーザー / メールアドレス変更 — メールアドレス変更
- ユーザー / メール受信設定 — メール受信設定
- ユーザー / アカウントライフサイクル — アカウント全体のライフサイクル
- 横断/運用基盤 / セッション制御 — セッション制御の運用基盤(同時ログイン制限・バージョン更新検知 等)