認証、認可について整理しておく

セキュリティ 基本

認証と認可

  • 認証(Authentication):利用者が本人であることを確認すること
  • 認可(Authorization) :認証済みの利用者に各種権限を与えること

認可の不備を回避するには、認証後のユーザIDなどの情報の保持にはhidden要素やクッキーではなくセッションを用いるであったり、処理の直前に権限を確認するであったりが必要である。

認証方式

  • Basic認証(RFC2617):ユーザIDとパスワードを入力させて確認する。パスワードがプレインテキストで送信される
  • Digest認証(RFC2617):ユーザIDとパスワードを入力させて確認する。パスワードがダイジェスト値(既定では MD5 アルゴリズムにより)で送信される
  • フォーム認証:HTMLのフォームにIDとパスワードを入力させて確認する
  • クライアント認証:SSLクライアント証明書を送信させて確認する

参考文献

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践