BasicBasic認証

BasicBasic認証 @sadnessOjisan フロントエンドカンファレンス北海道

自己紹介

Basic認証とはこういうやつ

Basic認証とはサービス公開前に何かしらの方法で URLを知られてしまったときにアクセスを防げる

簡単に実装できる WebFWはだいたいこの機能を持っている

仕様も小さい RFC7617: The 'Basic' HTTP Authentication Scheme

The Basic authentication scheme utilizes the Authentication Framework as follows.
In challenges: o The scheme name is "Basic". o The authentication parameter 'realm' is REQUIRED ([RFC7235], Section 2.2). o The authentication parameter 'charset' is OPTIONAL (see Section 2.1). o No other authentication parameters are defined -- unknown parameters MUST be ignored by recipients, and new parameters can only be defined by revising this specification. ここでいう認証フレームワークとチャレンジとは何か？

RFC9110: HTTP Semantics (Authorization) token68 = 1*( ALPHA / DIGIT
/ "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials a-z, A-z, 0-9, 記号で作られた文字列 QWxhZGRpbjpPcGVuU2VzYW1l https://datatracker.ietf.org/doc/html/rfc9110

/ "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials scheme [space] token68 Bearer fjiweofjewfj

/ "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials Authorization に値をセットする Basic hogehoge==

Basic認証のクレデンシャルは？

The Basic authentication scheme utilizes the Authentication Framework as follows.
In challenges: o The scheme name is "Basic". o The authentication parameter 'realm' is REQUIRED ([RFC7235], Section 2.2). o The authentication parameter 'charset' is OPTIONAL (see Section 2.1). o No other authentication parameters are defined -- unknown parameters MUST be ignored by recipients, and new parameters can only be defined by revising this specification.

Basic 認証の資格情報の作り方 obtains the user-id and password from the user,
constructs the user-pass by concatenating the user-id, a single colon (":") character, and the password, encodes the user-pass into an octet sequence (see below for a discussion of character encoding schemes), and obtains the basic-credentials by encoding this octet sequence using Base64 ([RFC4648], Section 4) into a sequence of US-ASCII characters ([RFC0020]). userid と password を : で繋ぐ

Basic 認証の資格情報の作り方 obtains the user-id and password from the user,
constructs the user-pass by concatenating the user-id, a single colon (":") character, and the password, encodes the user-pass into an octet sequence (see below for a discussion of character encoding schemes), and obtains the basic-credentials by encoding this octet sequence using Base64 ([RFC4648], Section 4) into a sequence of US-ASCII characters ([RFC0020]). Base64でエンコードする

サーバーは逆に利用する • Base64でdecode • : 区切りで分割 • 前半が user id,
後半が password • それを検証して、想定値でなければ 401 を返す

ブラウザはどのように動くのか

お題となる実装

なんで Ruby ? 発表したかった！！！

お題となる実装

お題となる実装表示される！

www-authenticate を消すと...??? ID/PASS の入力フォームがが表示されない！！！

realm だけを消すと...??? ID/PASS の入力フォームがが表示されない！！！

realm に適当な値を残すと...???

realm に適当な値を残すと...??? 表示される！

www-authenticate に realm がないと入力フォームが表示されない

Realmが返ってこない例: digdag

digdag • オープンソースのワークフローエンジン • バッチの実行サーバーの管理に便利 • かわいい https://github.com/treasure-data/digdag

管理画面にBasic認証をかけられる？

管理画面にBasic認証をかけられる？ ※ https://gist.github.com/hiroyuki-sato/229302a1867025876de7fd1d8ffa2bf1 ※ https://x.com/hiroysato/status/1181566196455559168

コンテンツも表示されない、資格情報の入力フォームも表示されない

modheader などで無理やりログインする

表示された！

Basic認証は普通にフォームから入力したいのだが

表示されない • ID/PASSWORD入力画面が表示されない • ブラウザ拡張でヘッダーに Basic つける必要がある

Realmが付いていないときの挙動だ！！！

Realm がない！

401 のときに、 .header("WWW-Authenticate", "Basic realm=\"piyo\"") を追加するとよさそう https://github.com/treasure-data/digdag/blob/eae89b0daf6c62f12309d8c7194454dfb18cc5c3/digdag-server/src/m ain/java/io/digdag/server/GenericJsonExceptionHandler.java#L30 Contribute Chance！
誰か頼む〜〜〜

BasicBasic認証

BasicBasic認証

More Decks by sadnessOjisan

Other Decks in Programming

Featured

Transcript