Basic認証(Basic Authentication)は、Webサイトの閲覧に対し、ユーザー名とパスワードを使用してアクセスを制限し、簡単に閲覧できなくするための一般的な認証方法の一つです。
目次
どんなときにBasic認証を使うの?
アクセス制限
Basic認証は、特定のウェブページやウェブアプリケーションにアクセス権を制限するために使用されます。例えば、管理者や特定のユーザーグループだけがアクセスできるようにすることがあります。
セキュリティ強化
ウェブページやアプリにログインする際に、Basic認証を通じてユーザー名とパスワードを要求することで、セキュリティを強化できます。この方式は、一時的なアクセス制限や閲覧制限にも使用されます。
APIアクセス制御
ウェブAPI(Application Programming Interface)にアクセスする際に、Basic認証を使用して認証することがあります。これにより、APIへのアクセスを制限し、認証済みのアプリケーションだけがデータを取得できるようになります。
クラウドサービス
インターネット上のファイルやディレクトリを共有するオンラインストレージサービスやFTPサーバーへのアクセスを制限するためにBasic認証が使用されることがあります。
Basic認証のセキュリティは甘い!?
Basic認証は、簡単にセキュリティを導入できるため、特に小規模なウェブサイトやプロトタイプ、一時的なアクセス制御に向いています。
しかし、ユーザー名とパスワードが平文で送信されるため、セキュリティ上のリスクがあるため、より高度な認証方法が必要な場合もあります。
また、Basic認証は現代のセキュリティ基準を満たさないため、重要な情報へのアクセス制御には向かないことがあります。
ガチガチのセキュリティが必要で重要な情報を取り扱うようなサイトには、Basic認証は不向きです。本気の悪意あるハッカーに攻撃されたらひと溜りもありません。
ホームページ制作においては、制作途中のページをクライアントにチェックしてもらうようなシーンで活用します。
ただ、ユーザー名・パスワードが流出したら、比較的簡単に閲覧できますので、クライアントチェックが終了したらユーザー名・パスワードを変更する最低限の処置を行いましょう。
Basic認証の設定方法
Basic認証の設定には「Apache、.htaccess、.htpasswd」の3つを理解し設定できるための専門知識が必要です。
ただ、最近では、レンタルサーバーの管理画面から「アクセス制限設定」できるところもありますので、必ずしも専門知識が無いとダメというわけではありません。
Basic認証がめんどくさいと感じたとき
簡易なセキュリティとはいえ、ホームページ制作途中で日々の確認やクライアントとのメッセンジャーなどのやり取りの際、いちいちユーザー名・パスワードをお知らせするのも面倒という方には、URLにユーザー名・パスワードを埋め込むという裏ワザをお知らせします。
例)
【ホームページURL】https://xxxxxx.com
【ユーザー名】abc
【パスワード】123
このような条件の場合のBasic認証付きURLは以下の通りです。
▼Basic認証付きURLはこちら
https://abc:123@xxxxxx.com
このURLだと、いちいちBasic認証のユーザー名・パスワードを入力することなく、直接、サイトが閲覧できるようになります。
ただ、この方法ですが、Safariでは使えないようです。現在、調べた限りでは以下の通りです。
ブラウザ名 | 有効/無効 |
---|---|
Google Chrome | ◯ |
Safari | ✗ |
Microsoft Edge | ◯ |
Firefox | ◯ |
Opera | 未確認 |
Basic認証と正しく付き合い、最低限のセキュリティ知識を持ってホームページ制作を進めましょう!
コメント