ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレ
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。
しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。
そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。
Web Authentication Methods Compared | TestDriven.io
https://testdriven.io/blog/web-authentication-methods/
◆ベーシック認証
HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。
ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。
認証フローはこんな感じ。
まずクライアントはサーバーに未認証のリクエストを送り、サーバーは401エラーを返答します。
その後クライアントがユーザーIDとパスワードを送信すると、サーバーにアクセスできるようになります。
ベーシック認証のメリットとしては、実装が容易な点や多くのブラウザが対応している点などがあげられます。
反対に、暗号化に非対応である点、リクエストごとに毎回認証を行う必要がある点などがデメリットであるとのこと。
◆Digest認証
Digest認証はベーシック認証と同じくHTTPに組み込まれていますが、パスワードをMD5でハッシュ化するため、ベーシック認証よりも高いセキュリティを実現できるとShaji氏は説明。
認証フローはベーシック認証とほぼ同じですが、MD5によるパスワードのハッシュ化に利用されるノンスをサーバーとクライアントでやり取りしている点が異なります。
(以下略、続きと画像はソースでご確認下さい)
Gigazine 2020年12月27日 15時00分
https://gigazine.net/news/20201227-web-authentication-methods-compared/
その他、記事で説明されている認証方法
◆セッションベース認証
◆トークンベース認証
◆ワンタイムパスワード
◆OAuth・OpenID
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。
しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。
そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。
Web Authentication Methods Compared | TestDriven.io
https://testdriven.io/blog/web-authentication-methods/
◆ベーシック認証
HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。
ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。
認証フローはこんな感じ。
まずクライアントはサーバーに未認証のリクエストを送り、サーバーは401エラーを返答します。
その後クライアントがユーザーIDとパスワードを送信すると、サーバーにアクセスできるようになります。
ベーシック認証のメリットとしては、実装が容易な点や多くのブラウザが対応している点などがあげられます。
反対に、暗号化に非対応である点、リクエストごとに毎回認証を行う必要がある点などがデメリットであるとのこと。
◆Digest認証
Digest認証はベーシック認証と同じくHTTPに組み込まれていますが、パスワードをMD5でハッシュ化するため、ベーシック認証よりも高いセキュリティを実現できるとShaji氏は説明。
認証フローはベーシック認証とほぼ同じですが、MD5によるパスワードのハッシュ化に利用されるノンスをサーバーとクライアントでやり取りしている点が異なります。
(以下略、続きと画像はソースでご確認下さい)
Gigazine 2020年12月27日 15時00分
https://gigazine.net/news/20201227-web-authentication-methods-compared/
その他、記事で説明されている認証方法
◆セッションベース認証
◆トークンベース認証
◆ワンタイムパスワード
◆OAuth・OpenID
