Apacheのユーザー認証方式「基本認証」と「ダイジェスト認証」とは？ (1) |

Apache のユーザー認証方式には「基本認証 (ベーシック認証)」と「ダイジェスト認証」の2つがあります。本稿ではそれぞれの認証について概要を説明し、次稿ではさらに詳しい仕様や技術的なことを説明します。

Apache の “ユーザー認証” とは？

Apache でいう “ユーザー認証” とは、特定のページへのアクセスを制限し、正しいアカウントとパスワードを入力した者にしか WEB ページを見せないようにするためのものです。現在の一般的なブラウザでは、ユーザー認証が掛けられた WEB ページにアクセスすると、アカウントとパスワードを入力するためのポップアップダイアログを表示してユーザーに入力を促します。 (これは各ブラウザの機能ですので、この認証のダイアログのデザインを変更したりすることはできません。)

Apache のユーザー認証には「基本認証 (ベーシック認証)」と「ダイジェスト認証」という2つの認証方式があります。それぞれの違いは何かを説明します。

基本認証 (ベーシック認証)

基本認証では、認証ダイアログに入力されたアカウントとパスワードをサーバーに送信しますが、この時に入力されたアカウントとパスワードは何も加工されずにサーバーへ送信され、サーバー側は受信したこれらの情報が正しいのかを判断して、アカウントとパスワードに誤りがない場合は WEB ページを表示します。

ここで重要なのはアカウントとパスワードが何も加工されずに送信される点です。インターネット中をアカウントとパスワードがそのまま送受信されますので、悪意のある経路を通ったり通信を盗聴された場合にはアカウントとパスワードがバレてしまうリスクがあります。ですので基本認証は、ネットワークが暗号化されている事などを確認の上利用した方が良いでしょう。またはローカルネットワーク内での利用などに制限するなどの運用にしましょう。

ダイジェスト認証

一方、ダイジェスト認証は基本認証のセキュリティの懸念を解決してくれている認証方式です。ブラウザとサーバー間で、入力したパスワードを暗号化して通信を行ってくれる認証方式であるため、ネットワークの盗聴などに強いというメリットがあります。一昔前は「ダイジェスト認証に対応していないブラウザがある」などと参考書に書かれていましたが、現在の一般的なブラウザはダイジェスト認証をほぼサポートしています。