HTTP認証 概要
今更ながら、HTTPで用いられる認証方式の概要をまとめる。
一般的な HTTP 認証の流れ
サーバーは1回目のクライアントからのリクエストに対して、
401(Unauthorized) レスポンスを返却し、WWW-Authenticateレスポンスヘッダーを含めて認証方式に関する情報を提供する。クライアントは
Authorizationリクエストヘッダーに資格情報を含めることで、サーバーに自身の認証を要求する。
用語
WWW-Authenticate
- リソースへのアクセスに使用する認証メソッド(Basic,...)を指定する。
- このヘッダーを参照し、クライアントは資格情報の提供方法を認識する。
WWW-Authenticate: <type> realm=<realm>
-
<type>:認証方式名。Basicなどが指定される。 -
realm:保護領域を説明する。これは、「本番アプリへのアクセスである」などをメッセージに設定することで、ユーザーが、どの領域にアクセスしようとしているかを通知する。
Basic認証
- Base64 でエンコードした資格情報(IDとパスワード)を
Authorization:Basicヘッダーに付与する方式。 - 可逆エンコードのため、HTTPSでの送信必須。
Bearer認証
- OAuth 2.0 で保護されたリソースにアクセスするためのベアラートークンを
Authorization: Bearerで指定する方式。
Digest認証
- IDとパスワードをMD5でハッシュ(ダイジェスト)化して送る方式
その他、Negotiate認証などいろいろある模様。
参考情報
Author And Source
この問題について(HTTP認証 概要), 我々は、より多くの情報をここで見つけました https://qiita.com/KWS_0901/items/29963df6625af3e3fd07著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .