Webサイトでの認証技術であるベーシック認証とダイジェスト認証を知る。

前回の勉強内容
勉強のきっかけになった問題
HTTPの認証機能を使用することで、Webサイトにアクセスできる権限を持っているかを確認します。
- ログイン画面を使うForm認証は、HTTPプロトコルの認証方式は使いません。
- クライアント側で行うHTTPの認証機能にはベーシック認証やダイジェスト認証などがあります。
ベーシック認証は、ユーザ名とパスワードの組みをコロン ":" でつなぎ、Base64でエンコードして送信します。
- 認証の流れは、
- Base64エンコードは、文字列を64進数で表すことです。
  - 64進数は、「A-Z」「a-z」「0-9」「+/」を使って余ったところは「=」で埋める方式です。
ダイジェスト認証は、パスワードをハッシュ値にして送信します。
- 認証の流れは、
- MD5は、文字列から128ビットの値のハッシュ値を生成するハッシュ関数です。
次回の勉強内容

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

HTTPの認証機能を利用するクライアント側の処理として，適切なものはどれか。

ダイジェスト認証では，利用者IDとパスワードを":"で連結したものを，MD5を使ってエンコードしAuthorizationヘッダで指定する。

ダイジェスト認証では，利用者IDとパスワードを":"で連結したものを，SHAを使ってエンコードしAuthorizationヘッダで指定する。

ベーシック認証では，利用者IDとパスワードを":"で連結したものを，BASE64でエンコードしAuthorizationヘッダで指定する。

ベーシック認証では，利用者IDとパスワードを":"で連結したものを，エンコードせずにAuthorizationヘッダで指定する。

平成24年秋期問20 HTTPの認証機能｜情報処理安全確保支援士.com

HTTPの認証機能を使用することで、Webサイトにアクセスできる権限を持っているかを確認します。

会員サイトなどのWebサイトを特定の人々だけ見れるようにするには認証機能を使用します。
認証機能を使用することでWebページを見られる人かを確認します。

HTTP 認証 - HTTP | MDN

ログイン画面を使うForm認証は、HTTPプロトコルの認証方式は使いません。

ログイン画面に情報を入力するタイプです。
セッションに情報を持つため、セッションがログアウトなどで切れると再認証が必要になります。

例えばEvernoteのログイン画面とか。
f:id:ponsuke_tarou:20181001223508p:plain

クライアント側で行うHTTPの認証機能にはベーシック認証やダイジェスト認証などがあります。

認証方式	パスワードとIDの送信方法
Basic認証	Base64でエンコードして平文で送信
Digest認証	ランダム文字列と合わせてMD5でハッシュ化して送信
Form認証	画面に入力された値を送信

ベーシック認証は、ユーザ名とパスワードの組みをコロン ":" でつなぎ、Base64でエンコードして送信します。

別名：基本認証
利点：多くのWebサーバが対応しています。
欠点：盗聴や改竄が簡単にできます。

Basic認証 Digest認証 Form認証の違い - ITを分かりやすく解説

認証の流れは、

ベーシック認証 - bnote

1. クライアントがページをリクエストする

2. WebサーバがWWW-AuthenticateヘッダでHTTPステータスコード401を返す

HTTPステータスコード：Webサーバがレスポンスの意味を表す3桁のコードです。
- 別名：レスポンスコード
- 401(Unauthorized)：「認証が必要だよん」とWebサーバは言っている。

WWW-Authenticate ヘッダーは 401 Unauthorized 応答と共に送られます。
例
WWW-Authenticate: Basic realm="Access to the staging site", charset="UTF-8"
WWW-Authenticate - HTTP | MDN

ASP.NET Web API の基本認証 | Microsoft Docs

3. クライアントがBase64 エンコードしたユーザ名とパスワードをAuthorizationヘッダに指定して送る

例
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
Authorization - HTTP | MDN

4. Webサーバが認証する

Base64 エンコードは、文字列を64進数で表すことです。

64進数は、「A-Z」「a-z」「0-9」「+/」を使って余ったところは「=」で埋める方式です。

MIMEなんかでも使っています。

# Base64エンコードしてみます。
$ echo -n 'ponsuke:tarou' | base64
cG9uc3VrZTp0YXJvdQ==
# 残念なことに簡単にデコードできます。
$ echo 'cG9uc3VrZTp0YXJvdQ==' | base64 -D
ponsuke:tarou

qiita.com

ダイジェスト認証は、パスワードをハッシュ値にして送信します。

英語：digest authentication
別名：HTTPダイジェスト認証
利点：ベーシック認証で防げなかった漏洩やら改ざんができます。
欠点：対応していないブラウザがあります。

Basic認証 Digest認証 Form認証の違い - ITを分かりやすく解説

認証の流れは、

第6回ユーザー認証 | 日経クロステック（xTECH）

9-1. パスワードの取り扱い

1. クライアントがページをリクエストする

2. WebサーバがWWW-AuthenticateヘッダでHTTPステータスコード401だけではなく「認証領域」や「認証方式」、「ランダムな文字列」を返す

ここの
- 認証領域は、realm
- 認証方式は、Digest(ダイジェスト認証だよと知らせる)
- ランダムな文字列は、
  - nonce(認証要求ごとに生成される一時的なデータでチャレンジともいう)
  - opaque(ランダムに生成されるデータ)
といいます。

Tomcatでダイジェスト認証を使う：JavaTips 〜アプリケーションサーバ／コンテナ活用編 - ＠IT

3. クライアントがランダムな文字列を生成して、ユーザ名・パスワードと「2つのランダムな文字列」を使ってハッシュ文字列を生成する

ここの
- 生成したランダムな文字列は、cnonce
- ハッシュ文字列は、response
といいます。
ハッシュ値を生成する関数を「ハッシュ関数」「要約関数」「メッセージダイジェスト」といいます。

4. クライアントは「2つのランダムな文字列」と「ハッシュ文字列」を送信する

Tomcatでダイジェスト認証を使う：JavaTips 〜アプリケーションサーバ／コンテナ活用編 - ＠IT

5. Webサーバは「2つのランダムな文字列」とサーバに格納されているパスワードからハッシュ文字列を生成して認証する

ハッシュ値からパスワードを復元するのはめちゃめちゃ大変なので、サーバのパスワードもハッシュ値にしてクライアントから送られてきたハッシュ値と比較します。

MD5は、文字列から128ビットの値のハッシュ値を生成するハッシュ関数です。

正式：Message Digest 5
規約：RFC 1321
特徴：
1. 同じ入力値は必ず同じ値になる
2. 少しでも異なる入力値は全然違う値になる
3. 不可逆な一方向関数を含むのでハッシュ値から効率よく入力値を割り出すことはできない
欠点：入力値がハッシュ値より長い場合、複数の異なる入力値なのに同じハッシュ値になってしまう「ハッシュ値の衝突」が起こる

# MD5でハッシュ値を生成する
$ echo 'tarou' | md5
961ed3c18a02b9b87bcd3efa9eb2a0a9
# ちょっと違う文字だとぜんぜん違うハッシュ値が生成される
$ echo 'taroo' | md5[f:id:ponsuke_tarou:20181005164602j:plain]
e11337e5c8ce85a437712f57c63249e8
$ echo 'taroｕ' | md5
26223ea272f3f0e42cf872c01b9ba8ec