ワイヤーフレーム / 管理画面:スタッフログイン(スマホ)
社内スタッフ向けのログイン画面。一般会員と別エンドポイント(例:/staff/login)。
スタッフログイン
通常/エラー時/2段階認証 の3パターン
画面 1
通常時
9:41
● ● ●
A
Auction Admin
スタッフ専用ログイン
ログイン
出品管理にアクセスするには認証が必要です
メールアドレス または スタッフID
📧
パスワード
🔒
表示
この端末を信頼する(30日)
パスワードを忘れた
ログイン
または
🔐
SSO(Google Workspace)でログイン
🪪
管理者から招待コードでログイン
画面 2
エラー時
9:41
● ● ●
A
Auction Admin
スタッフ専用ログイン
ログイン
出品管理にアクセスするには認証が必要です
⚠
メールアドレスまたはパスワードが違います。
あと 2 回失敗するとアカウントが一時ロックされます
メールアドレス または スタッフID
📧
パスワード
🔒
表示
⚠ 認証情報が一致しません
この端末を信頼する(30日)
パスワードを忘れた
認証中…
または
🔐
SSO(Google Workspace)でログイン
画面 3
2段階認証
9:41
● ● ●
A
Auction Admin
スタッフ専用ログイン
2段階認証
セキュリティのため、追加の確認が必要です
📱 認証コードを送信しました
登録済みの SMS(090-****-1234)に
6桁のコードを送信しました
コードが届かない?
あと 0:42 で再送可能
確認する
🔄
別の認証方法を使う(認証アプリ)
💡 設計上のポイント
シンプルな縦並びカード
— スマホで親指が届く範囲で完結。フィールドは大型タッチターゲット
「メールアドレス または スタッフID」
— 社内利用なのでIDログインも許容
パスワード表示トグル
— 入力ミスを防ぐためのアクセシビリティ
「この端末を信頼する」
— 30日トークンで毎回の認証を省略可能
SSO(Google Workspace)導線
— 社内のGoogle Workspace連携を想定
失敗回数表示
— エラー時に「あと N 回でロック」と警告
2段階認証(SMS / 認証アプリ)
— 高権限アカウントには必須化できる構成
パスワードリセット導線
— 別画面でメール送信フローへ
🔐 セキュリティ要件マッピング
項目
仕様
パスワード方針
8文字以上、英数字+記号混在
失敗ロック
5回失敗で15分ロック(IP単位+アカウント単位)
セッション
HttpOnly Cookie、Secure、SameSite=Lax
2段階認証
SMS / 認証アプリ(TOTP)どちらも対応
信頼端末
30日間トークン、端末ごとに失効可能
監査ログ
ログイン成功・失敗・端末追加を記録(要件 §16)
ロール
staff / manager / admin の3階層を想定
📋 関連画面(別途WF化を検討)
パスワードリセット要求 → メール送信
パスワードリセット完了画面
初回ログイン時の必須設定(パスワード変更・2FA設定)
セッション失効時の再ログイン画面