ある会社より社内向けオンラインショップの作成を依頼されました。自宅でPCまたはスマートフォンから利用したいということで、社内LANではなく、インターネット経由の利用になります。この社内向けオンラインショップの意図するところは、福利厚生の一環として、一部の商品を安く購入できることにあります。ここでやっかいなことは、社員がID・パスワードを知人等に教えて、社員以外に利用されてしまう可能性があることです。そこで社員以外は利用できないようにするための仕組みが必要になります(代理購入はできてしまいますが、それは仕方ないとします)。いろいろ調べて行き着いたのが、ワンタイムパスワードで接続認証させる方法です。ところがこの方法だと、通常はパスワード生成器が必要になり、利用者ごとに生成器の費用がかかってしまいます。 ここで疑問に感じたのですが、このパスワード生成器に相当するパスワード生成アプリを作成し、各クライアントの端末にインストールしておけば、パスワード生成器は不要になりますよね?たとえば、IDと時間をパラメータにしてパスワードを生成するアプリを作成しておけば、基本的には同じ事ができると思います。各OS用にアプリを開発する必要はありますが、一度作成してしまえば、その後の費用は必要なくなります。 あとはサーバー側の構築ですが、サイト内にPHP等でプログラムを作成しておけば、通常のレンタルサーバーでも簡易的な接続認証ができると思うのですが、この方法だとセキュリティ的に非実用的でしょうか?やはり別途認証サーバが必要になりますでしょうか? よろしくお願いします。
↧