パスキーのすべて ―導入・UX設計・実装を読んだ。
えーじ、倉林雅、小岩井航介らによる、パスキーの解説書。
タイトルどおり「導入(なぜ・何を)」「UX設計」「実装」の3層を1冊で扱っているのが特徴。パスワードの限界・フィッシング耐性といったパスキー登場の文脈から、WebAuthn・FIDOといった裏側の仕様、サーバー側/Web/iOS/Androidそれぞれの実装、ログインUXの設計、運用上の落とし穴(端末紛失・アカウントリカバリ、セキュリティキーとの併用など)までが射程に入っている。
印象に残ったところ:
- パスキーを「公開鍵暗号 + プラットフォーム同期 + ログインUX」の組み合わせとして整理しているので、WebAuthnを単発でつまみ食いした知識が一つの軸でつながる。
- UX章が分厚い。Conditional UI(自動入力プロンプト)など、「ボタンを置いて終わり」にならないログイン体験の作り方が具体的に扱われている。
- モバイルアプリ側の実装で必要になる
apple-app-site-association/assetlinks.jsonといった、Webだけ触っていると見落としがちな紐付けまで説明されている。 - 終盤の、パスキーだけで全部解決するわけではない、という割り切り。リカバリ手段やセキュリティキー併用、Digital Credentials APIのような今後の拡張まで視野に入れて書かれている。
入門書ではなく、「Webの認証・公開鍵暗号・OAuth/OIDC周りの基礎知識がある人が、パスキーをプロダクトに導入するときに参照する本」という位置づけが近い。
はじめてのデジタルアイデンティティ―Webサービスに欠かせない認証・認可・ID管理で認証・認可全体の地図を作ってから、本書でパスキー単体を深掘りする、という順で読むと噛み合いやすい。