ログインの裏側

パスワードとトークンの往復で「本人」を運ぶ仕組み

この記事の要約

ログインが一度きりで済むのは、最初の 1 回だけパスワードで本人確認し、以後は有効期限つきの「通行証(トークン)」を見せて通っているからです。

  • パスワードを送るのは最初の 1 回だけ — 漏れる機会を最小にする
  • 通行証は Cookie に保管され、ブラウザが毎回自動で提示する
  • 通行証には期限があり、切れたら再ログイン — 漏れても被害を限定できる

なぜログインは「一度きり」で済むのか

ページを開くたびにサーバとは通信しているのに、パスワードを聞かれるのは最初だけ。その裏側で何が行き来しているのか、動く図でたどりましょう。

ログイン認証の流れ

ページを開くたび繰り返しID とパスワードを送信ログイン要求保管したハッシュと照合本人確認一致(本人と確認)照合OKトークン(通行証)を発行通行証の発行Cookie に通行証を保管通行証の保管通行証を提示してアクセス通行証で要求通行証を検証 → データを返す検証して応答
あなたブラウザ / アプリ
認証サーバログイン受付
パスワード保管庫ハッシュ照合

各ステップ・参加者・分岐をクリックすると、その仕組みの説明がここに表示されます。

この図をテキストで読む

シーケンス図「ログイン認証の流れ」。参加者3人、ステップ7個。 【参加者】(左から右) - あなた: ブラウザ / アプリ - 認証サーバ: ログイン受付 - パスワード保管庫: ハッシュ照合 【流れ】(上から下へ) ── ① 認証フェーズ(最初の1回だけ) ── 1. あなた → 認証サーバ: ID とパスワードを送信 2. 認証サーバ → パスワード保管庫: 保管したハッシュと照合 3. パスワード保管庫 → 認証サーバ: 一致(本人と確認)(応答) 4. 認証サーバ → あなた: トークン(通行証)を発行(応答) 5. あなた(自身で処理): Cookie に通行証を保管 ── ② ログイン後(2回目以降・毎回) ── (ページを開くたび繰り返し の枠) 6. あなた → 認証サーバ: 通行証を提示してアクセス 7. 認証サーバ → あなた: 通行証を検証 → データを返す(応答)

最初の1回はパスワード、以後は通行証で通ります。

もし通行証が無かったら?

ページを開くたび ID とパスワードを送信毎回ログイン毎回フル照合毎回照合応答は遅く、漏えいの機会は増える遅い応答
あなたブラウザ / アプリ
サーバ毎回が本人確認

各ステップ・参加者・分岐をクリックすると、その仕組みの説明がここに表示されます。

合言葉が毎回流れる — 遅いうえに、漏れる機会も毎回増える

この図をテキストで読む

シーケンス図「通行証なし(毎回パスワード)」。参加者2人、ステップ3個。 【参加者】(左から右) - あなた: ブラウザ / アプリ - サーバ: 毎回が本人確認 【流れ】(上から下へ) 1. あなた → サーバ: ページを開くたび ID とパスワードを送信 2. サーバ(自身で処理): 毎回フル照合 3. サーバ → あなた: 応答は遅く、漏えいの機会は増える(応答)

切り替えて見比べると、通行証が「速さ」と「安全」の両方を支えているとわかります。●の速さは処理の身軽さです。

通行証は「鍵」と同じ

トークンは、持っていれば本人として通れてしまう『鍵』です。通信は必ず暗号化(HTTPS)し、Cookie には HttpOnly / Secure の印をつけ、有効期限を短くして、万一漏れても使える時間を絞ります。

押さえておきたい用語

認証(Authentication)
「あなたが本当にその本人か」を確かめること。誰に何を許すかを決める『認可』とは別の段階。
トークン
本人確認に成功したしるしとして渡される通行証。有効期限があり、切れると再ログインが必要。
Cookie / セッション
通行証をブラウザにしまい自動で送る仕組みが Cookie。本体をサーバに置き、預かり番号だけ持つ方式がセッション。
JWT
通行証自体に情報と改ざん防止の署名を載せて持ち歩く方式。サーバ側に保管が無くても検証できる。
ハッシュ化
パスワードを元に戻せない形に変換して保管する技術。保管データが漏れても合言葉そのものは守られる。

ここから先へ

この解説とつながりのあるページ

ログインと守りの基本』の歩き方 2/5 歩目次は「多要素認証(MFA)