WEBシステムで一般的に用いられている本人（会員）認証形式の方法は？

概要
WEBシステムの一般的な認証形式はBASIC認証という方式か？　それ以外か？

詳細
WEBシステムでは会員制で機能を限定するシステムがしばしば用いられます。
例えば、ヤフーオークションや、ここの質問サイト（OKWAVEと提携しているもの）などです。
一般閲覧者（非会員）は、ある程度のページの閲覧は出来ますが、それ以上の機能
例えば、ヤフーオークションなら、オークション品の入札、落札、出品など、
質問システム（OKWAVEと提携しているもの）ならば、質問投稿、回答投稿などです。

この認証の仕組みは、まずWEBサイトの会員申込みページにおいて、氏名、メルアド、その他、必要事項を入力し、
ID,パスワードを自分で決めて、会員申請をします。
管理者が会員申請の承認、却下をします。
その結果は申込者に対してメールにて自動回答されます。
承認された者は、それ以降はログインページにおいて、ID,パスワードを入力すると、ログインが出来、
会員のみが使える機能が使用可能となります。
また、会員はログイン後に、ID変更、パスワード変更、パスワード忘却時のパスワード回答、登録内容の変更、退会申請、等が出来ます。
（ID変更はシステムによっては許可しない場合もありますが）
また、当たり前ですが、この認証システムは一度に多数の会員が同時ログインしても大丈夫なように
作ってあります。

さて、このような仕組みの認証方式は、BASIC認証という方式を使っているのでしょうか？
それとも別の方式でしょうか？
BASIC認証を使わないのであれば、BASIC認証では適さない理由、BASIC認証が使われない理由を教えてください。

質問者からの補足コメント

• 質問文に一部不足がありましたので直します。
  
  詳細の3行目
  誤
  一般閲覧者（非会員）は、ある程度のページの閲覧は出来ますが、それ以上の機能
  
  正
  一般閲覧者（非会員）は、ある程度のページの閲覧は出来ますが、それ以上の機能、例えば下記のような機能は、会員承認されなければ使えないようになっています。

    補足日時：2015/11/26 10:27

• 

  第一回答者様
  
  結局、こっち、というのはどれを指しているのですか？
  ヤフーログインなどはBASIC認証を使っているのでしょうか？
  使っていないのであればどのような方法なのでしょうか？

  No.1の回答に寄せられた補足コメントです。 補足日時：2015/11/26 12:56

No.2 ベストアンサー 回答者： zircon3 回答日時： 2015/11/26 13:15

No.1です。

BASIC認証は普通は使いません。
昔は使いましたし、今も使っているサイト（主に個人サイト？）はあるでしょう。
しかし、先に書きましたように簡易的な方法なので、現在の技術水準からするとセキュリティー上非常に危険です。
なのでインターネット上に広く公開し、多くの利用者を抱える（または抱えることを目標にしている）サイトではBASIC認証は使いません。

今はWebサイト構築のための各種パッケージや部品ソフトがいろいろあって、そういう物を使えばユーザの登録・変更・削除やログイン処理のページを間単に作ることが出来ます。
ちなにみに自前で作っても難しいものではありません。
ログインならログイン専用画面またはログイン入力フィールドもある画面を出し、そこでログインのボタンを押されたら https://... という暗号通信のページへ行くようにし（こうすれば入力したユーザ名とパスワードは暗号化されてからサーバへ送られます）、受けたサーバー側では渡されたユーザ名とパスワードでデータベースを引き、正しいユーザかどうかを確認すればよいだけです。ＯＫならログイン後の画面を返し、ＮＧならログイン失敗の画面を返せばよいと。。。
この時、サーバ側に置かれているログイン処理のプログラムはデータが暗号化されて送られて来ていることは意識しません。暗号化されたデータを元に戻すのはWebサーバーがやってくれます。
Webサーバの管理下にあって、Webブラウザから見るとWebサーバの後ろに居るログインプログラムをはじめとするアプリケーション機能を実現するためのプログラムは、Webサーバによって起動されたらWebサーバーとの規定のインタフェースを使ってデータを受け取ってそれを処理し、結果の画面を送出する（標準出力する）だけです。

なお、BASIC認証でも認証データ（登録ユーザのデータ）をデータベースに格納し、ログイン要求処理の際にデーターベースを引いてユーザ確認を行うことは可能です。ネックは平文でのユーザ名とパスワードの送信です。

この回答へのお礼

ご回答ありがとうございます
よくわかりました

お礼日時：2015/11/26 14:38

No.1 回答者： zircon3 回答日時： 2015/11/26 09:25

> それとも別の方式でしょうか？

こっちです。
BASIC認証はHTTPプロトコルが標準で備えている認証方式でログインの際、ユーザ名とパスワードを入力する小さいダイアログが表示されるものです。もしかすると見たことが無い人の方が多いかもしれない。。。

管理がちゃんとしたサイトでこれを使用しない理由は簡単です。
ユーザ名とパスワードは平文で飛ぶからです。確か入力された両方の値をBASE-64でエンコードしてGETのパラメータ（URLの後ろに付加する方式）でサーバに送るだけです。入力値の暗号化やハッシュ値をとるといったことはしない非常に簡便なログイン管理方式です。

うんと。。。
以下の解説が参考になるでしょう。

https://ja.wikipedia.org/wiki/Basic%E8%AA%8D%E8% …
http://e-words.jp/w/BASIC%E8%AA%8D%E8%A8%BC.html

この回答へのお礼

ご回答ありがとうございます。

Yahooや教えてシステムで利用しない理由は
「ユーザ名とパスワードは平文で飛ぶからです」
だけですか？
BASIC認証において
「ユーザ名とパスワードは平文で飛ぶからです」
というセキュリティにさえ目をつぶれば、
「WEB上で利用申請を受け付け、管理者が承認した者は利用者に登録する。
利用者には、利用者専用ページの閲覧など以外に、
「ID変更、パスワード変更、パスワード忘却時のパスワード回答、登録内容の変更、退会申請」
などの要望にも応じる」
という機能は使えるのでしょうか？　使えないのでしょうか？

お礼日時：2015/11/26 10:25