# デジタル認証アプリ 認証API

<br>

## **概要**

認証APIは、インターネット等でログインする際に「ログインした者が利用者本人であること」を確かめるためのAPIです。
マイナンバーカードのICチップから利用者証明用電子証明書を読み取り、利用者によって作成された乱数を秘密鍵を使用して暗号化することで利用者の真正性を検証するための電子署名を生成します。
これにより、マイページ等のログインの際に、ログインしてきた者が利用者本人であることを確認できます。また、ID・パスワードによる認証よりもセキュリティの高いログイン認証が可能となります。
券面事項入力補助APを用いた基本4情報連携機能も利用可能です。

## **処理の流れ**

<Steps>
    <Step title="認証の要求（サービスプロバイダ事業者）">
        署名対象となる乱数からハッシュ値を生成し、Base64形式にエンコードします。生成した署名対象データ、リダイレクト先URL、券面事項入力補助APより取得する基本4情報の項目をAPIに送信します。
    </Step>
    <Step title="デジタル認証アプリの起動（サービスプロバイダ事業者）">
        受信した認証用URLにアクセスすることで、利用者のスマートフォンでデジタル認証アプリが起動します。PCまたはタブレットの場合は、認証用のQRコードがブラウザやアプリ画面に表示されます。利用者はスマートフォンでQRコードを読み取り、表示された6桁のパスコードを入力することでデジタル認証アプリを認証・起動します。
    </Step>
    <Step title="利用者の認証・認可（サービスプロバイダ事業者）">
        デジタル認証アプリ起動後、利用者は画面の案内に従って操作を行い、ログインのための認証を行います。認証完了後、リダイレクトによりパラメータをAPIへ送信します。また、デジタル庁サーバとJ-LIS間による利用者証明用電子証明書の有効性確認も行われます。
    </Step>
    <Step title="CSRF対策検証（プラットフォーム事業者）">
        リダイレクトで受信したデータをもとに、CSRF攻撃の有無を検証します。攻撃が検知された場合は、認証処理を中断しエラーを返却します。
    </Step>
    <Step title="認証結果の取得（プラットフォーム事業者）">
        検証が正常に完了した場合、デジタル認証アプリで生成された認証結果を取得します。取得した内容に異常がある場合は、エラーを返却し処理を中断します。
    </Step>
    <Step title="認証IDの返却（プラットフォーム事業者）">
        認証IDをリダイレクトで返却し、ログイン完了画面へ遷移します。
    </Step>
    <Step title="基本4情報の取得（サービスプロバイダ事業者）">
        取得した認証IDをAPIに送信することで、利用者識別用のID、券面事項入力補助APの基本4情報が返却されます。
    </Step>
</Steps>

## **シーケンス図**

```mermaid
%%{init:{'theme':'natural'}}%%
sequenceDiagram
    participant 利用者
    participant デジタル認証アプリ
    participant サービスプロバイダ事業者
    participant プラットフォーム事業者
    participant デジタル庁サーバ
    participant J-LIS

    利用者->>サービスプロバイダ事業者: [01] 「アプリを使って認証」押下
    サービスプロバイダ事業者->>プラットフォーム事業者: [02] 認証の要求
    プラットフォーム事業者->>プラットフォーム事業者: 認証用URL生成
    プラットフォーム事業者-->>サービスプロバイダ事業者: 認証用URLの返却

    alt スマートフォン（同一端末）
        サービスプロバイダ事業者->>デジタル認証アプリ: [03] 認可リクエスト [04] リダイレクト
        デジタル認証アプリ->>利用者: デジタル認証アプリ起動
    else PC・タブレット（別端末）
        サービスプロバイダ事業者->>デジタル認証アプリ: [03] 認可リクエスト [04] リダイレクト（QRコード表示）
        デジタル認証アプリ->>利用者: デジタル認証アプリ起動<br>QRコードの読み取り・パスコード認証
    end
    利用者->>利用者: デジタル認証アプリの操作
    利用者->>デジタル認証アプリ: 利用者証明用電子証明書の読み取り<br>暗証番号の入力

    デジタル認証アプリ->>デジタル庁サーバ: [05] 利用者の認証（有効性確認）
    デジタル庁サーバ->>J-LIS: 利用者証明用電子証明書の有効性確認
    J-LIS->J-LIS: 有効性確認
    J-LIS->>デジタル庁サーバ: 有効性確認結果の返却
    デジタル庁サーバ->>デジタル認証アプリ: [05] 利用者の認可
    デジタル認証アプリ->>デジタル庁サーバ: 認証完了
    デジタル庁サーバ->>プラットフォーム事業者: [06] 認可レスポンス [07] リダイレクト

    プラットフォーム事業者->>デジタル庁サーバ: [08] トークンリクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [09] トークンレスポンス
    プラットフォーム事業者->>デジタル庁サーバ: [10] UserInfoリクエスト
    デジタル庁サーバ-->>プラットフォーム事業者: [11] UserInfoレスポンス

    プラットフォーム事業者->>サービスプロバイダ事業者: [12] レスポンス（リダイレクトで画面遷移）
    サービスプロバイダ事業者->>プラットフォーム事業者: 認証結果の取得
    プラットフォーム事業者-->>サービスプロバイダ事業者: 基本4情報・ユーザ情報の返却
```

<br>