概要
WEBシステムの一般的な認証形式はBASIC認証という方式か? それ以外か?
詳細
WEBシステムでは会員制で機能を限定するシステムがしばしば用いられます。
例えば、ヤフーオークションや、ここの質問サイト(OKWAVEと提携しているもの)などです。
一般閲覧者(非会員)は、ある程度のページの閲覧は出来ますが、それ以上の機能
例えば、ヤフーオークションなら、オークション品の入札、落札、出品など、
質問システム(OKWAVEと提携しているもの)ならば、質問投稿、回答投稿などです。
この認証の仕組みは、まずWEBサイトの会員申込みページにおいて、氏名、メルアド、その他、必要事項を入力し、
ID,パスワードを自分で決めて、会員申請をします。
管理者が会員申請の承認、却下をします。
その結果は申込者に対してメールにて自動回答されます。
承認された者は、それ以降はログインページにおいて、ID,パスワードを入力すると、ログインが出来、
会員のみが使える機能が使用可能となります。
また、会員はログイン後に、ID変更、パスワード変更、パスワード忘却時のパスワード回答、登録内容の変更、退会申請、等が出来ます。
(ID変更はシステムによっては許可しない場合もありますが)
また、当たり前ですが、この認証システムは一度に多数の会員が同時ログインしても大丈夫なように
作ってあります。
さて、このような仕組みの認証方式は、BASIC認証という方式を使っているのでしょうか?
それとも別の方式でしょうか?
BASIC認証を使わないのであれば、BASIC認証では適さない理由、BASIC認証が使われない理由を教えてください。
No.2ベストアンサー
- 回答日時:
No.1です。
BASIC認証は普通は使いません。
昔は使いましたし、今も使っているサイト(主に個人サイト?)はあるでしょう。
しかし、先に書きましたように簡易的な方法なので、現在の技術水準からするとセキュリティー上非常に危険です。
なのでインターネット上に広く公開し、多くの利用者を抱える(または抱えることを目標にしている)サイトではBASIC認証は使いません。
今はWebサイト構築のための各種パッケージや部品ソフトがいろいろあって、そういう物を使えばユーザの登録・変更・削除やログイン処理のページを間単に作ることが出来ます。
ちなにみに自前で作っても難しいものではありません。
ログインならログイン専用画面またはログイン入力フィールドもある画面を出し、そこでログインのボタンを押されたら https://... という暗号通信のページへ行くようにし(こうすれば入力したユーザ名とパスワードは暗号化されてからサーバへ送られます)、受けたサーバー側では渡されたユーザ名とパスワードでデータベースを引き、正しいユーザかどうかを確認すればよいだけです。OKならログイン後の画面を返し、NGならログイン失敗の画面を返せばよいと。。。
この時、サーバ側に置かれているログイン処理のプログラムはデータが暗号化されて送られて来ていることは意識しません。暗号化されたデータを元に戻すのはWebサーバーがやってくれます。
Webサーバの管理下にあって、Webブラウザから見るとWebサーバの後ろに居るログインプログラムをはじめとするアプリケーション機能を実現するためのプログラムは、Webサーバによって起動されたらWebサーバーとの規定のインタフェースを使ってデータを受け取ってそれを処理し、結果の画面を送出する(標準出力する)だけです。
なお、BASIC認証でも認証データ(登録ユーザのデータ)をデータベースに格納し、ログイン要求処理の際にデーターベースを引いてユーザ確認を行うことは可能です。ネックは平文でのユーザ名とパスワードの送信です。
No.1
- 回答日時:
> それとも別の方式でしょうか?
こっちです。
BASIC認証はHTTPプロトコルが標準で備えている認証方式でログインの際、ユーザ名とパスワードを入力する小さいダイアログが表示されるものです。もしかすると見たことが無い人の方が多いかもしれない。。。
管理がちゃんとしたサイトでこれを使用しない理由は簡単です。
ユーザ名とパスワードは平文で飛ぶからです。確か入力された両方の値をBASE-64でエンコードしてGETのパラメータ(URLの後ろに付加する方式)でサーバに送るだけです。入力値の暗号化やハッシュ値をとるといったことはしない非常に簡便なログイン管理方式です。
うんと。。。
以下の解説が参考になるでしょう。
https://ja.wikipedia.org/wiki/Basic%E8%AA%8D%E8% …
http://e-words.jp/w/BASIC%E8%AA%8D%E8%A8%BC.html
ご回答ありがとうございます。
Yahooや教えてシステムで利用しない理由は
「ユーザ名とパスワードは平文で飛ぶからです」
だけですか?
BASIC認証において
「ユーザ名とパスワードは平文で飛ぶからです」
というセキュリティにさえ目をつぶれば、
「WEB上で利用申請を受け付け、管理者が承認した者は利用者に登録する。
利用者には、利用者専用ページの閲覧など以外に、
「ID変更、パスワード変更、パスワード忘却時のパスワード回答、登録内容の変更、退会申請」
などの要望にも応じる」
という機能は使えるのでしょうか? 使えないのでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ユニクロやGUのシフト管理アプ...
-
Excelのセルにユーザー名...
-
LINE TCBというところからLINE...
-
「@」(アットマーク)の無いメ...
-
iPhoneのiCloudメールなよです...
-
インスタの捨て垢で友達のスト...
-
メールのマナー編
-
メールアドレスで上付きのハイフン
-
インスタの乗っ取り解除につい...
-
CSVファイルを添付するときにパ...
-
CDにパスワードをかける
-
メールアドレスを人に教えるの...
-
メールを返信したら、英語のメ...
-
runas実行した時にきかれるパス...
-
インスタのアイコンについてるN...
-
メールをパスワードつきで送る方法
-
存在しないアドレスにメールを...
-
メールアドレス 上バーの入力...
-
韓国人アドレスnaver.com
-
パスワード等をショートカット...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Excelのセルにユーザー名...
-
YouTubeが毎回ログインしないと...
-
YahooIDをパスワード形式にした...
-
インスタの捨て垢で友達のスト...
-
iPhoneのiCloudメールなよです...
-
携帯電話を解約してもSMSの受信...
-
インスタの乗っ取り解除につい...
-
「@」(アットマーク)の無いメ...
-
メールを返信したら、英語のメ...
-
メールアドレスで上付きのハイフン
-
verify@twitter.comから、メー...
-
星の王子さまというアプリで、 ...
-
CSVファイルを添付するときにパ...
-
LINE TCBというところからLINE...
-
メールアドレス 上バーの入力...
-
ユニクロやGUのシフト管理アプ...
-
インスタのアイコンについてるN...
-
インスタのアカウントの消し方...
-
高一男子です 僕が絶対に悪いん...
-
メールをパスワードつきで送る方法
おすすめ情報
質問文に一部不足がありましたので直します。
詳細の3行目
誤
一般閲覧者(非会員)は、ある程度のページの閲覧は出来ますが、それ以上の機能
正
一般閲覧者(非会員)は、ある程度のページの閲覧は出来ますが、それ以上の機能、例えば下記のような機能は、会員承認されなければ使えないようになっています。
第一回答者様
結局、こっち、というのはどれを指しているのですか?
ヤフーログインなどはBASIC認証を使っているのでしょうか?
使っていないのであればどのような方法なのでしょうか?