着信認証とは
電話の着信(1コール)を用いて電話番号の所有を確認する認証方式。SMSを送信しないため、SMSを受信できない固定電話にも対応でき、SIMスワップの影響を受けにくい。
着信認証の仕組み
着信認証には主に2つの方式があります。
- 発信型(Missed Call Authentication): ①ユーザーが認証画面で電話番号を入力 → ②APIが専用の電話番号を発行(セッションごとに異なる)→ ③ユーザーがその番号に電話をかける → ④着信を検知してAPIが認証完了を通知 → ⑤通話はすぐ切断(通話料不要)
- 受信型: API側からユーザーの電話番号に発信し、着信応答を確認する方式。
pauth.meは発信型の着信認証APIを提供しています。 ユーザーが電話をかけた番号を発行したAPIサーバーのみが認証の正否を知ることができるため、 SMSのような傍受リスクがありません。
SMS認証との比較
| 項目 | SMS認証 | 着信認証 |
|---|---|---|
| 固定電話対応 | ❌ | ✅ |
| SIMスワップ耐性 | ❌ 脆弱 | ✅ 強い |
| コスト | 1件数円〜数十円 | pauth.me: $0.05 USD〜 |
| ユーザー操作 | SMSを受信→入力 | 電話をかけるだけ |
| オフライン | ❌(要通信) | ❌(要通話) |
メリット
- 固定電話・法人番号にも対応: SMSが受信できない番号でも認証可能
- SIMスワップ耐性: SIMを差し替えても着信番号は一致しない
- コード入力不要: ユーザーは電話をかけるだけで認証完了
- 実装が簡単: REST APIで3ステップ(発行→着信待機→確認)
デメリット
- ユーザーが電話をかける操作が必要(SMS受信より積極的な操作)
- IP電話番号や一部のMVNOで着信制限がある場合がある
pauth.meの着信認証API
pauth.meは日本の電話番号に特化した着信認証APIを提供しています。 初期費用0円、1件$0.05 USD〜の従量課金制。 APIドキュメントはシンプルで、REST APIの3呼び出しで実装完了します。 詳細はSMS認証との比較ページや料金ページをご覧ください。