BasicBasic認証

Transcript

1. BasicBasic認証 @sadnessOjisan フロントエンドカンファレンス北海道

2. 自己紹介

3. Basic認証とは こういうやつ

4. Basic認証とは サービス公開前に何かしらの方法で URLを知られてしまったときにアクセスを防げる

5. 簡単に実装できる WebFWはだいたいこの機能を持っている

6. 仕様も小さい RFC7617: The 'Basic' HTTP Authentication Scheme

7. The Basic authentication scheme utilizes the Authentication Framework as follows.

   In challenges: o The scheme name is "Basic". o The authentication parameter 'realm' is REQUIRED ([RFC7235], Section 2.2). o The authentication parameter 'charset' is OPTIONAL (see Section 2.1). o No other authentication parameters are defined -- unknown parameters MUST be ignored by recipients, and new parameters can only be defined by revising this specification. ここでいう認証フレームワークとチャレンジとは何か？

8. RFC9110: HTTP Semantics (Authorization) token68 = 1*( ALPHA / DIGIT

   / "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials a-z, A-z, 0-9, 記号 で作られた文字列 QWxhZGRpbjpPcGVuU2VzYW1l https://datatracker.ietf.org/doc/html/rfc9110

9. RFC9110: HTTP Semantics (Authorization) token68 = 1*( ALPHA / DIGIT

   / "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials scheme [space] token68 Bearer fjiweofjewfj

10. RFC9110: HTTP Semantics (Authorization) token68 = 1*( ALPHA / DIGIT

    / "-" / "." / "_" / "~" / "+" / "/" ) *"=" credentials = auth-scheme [ 1*SP ( token68 / #auth-param ) ] Authorization = credentials Authorization に値をセットする Basic hogehoge==

11. Basic認証のクレデンシャルは？

12. The Basic authentication scheme utilizes the Authentication Framework as follows.

    In challenges: o The scheme name is "Basic". o The authentication parameter 'realm' is REQUIRED ([RFC7235], Section 2.2). o The authentication parameter 'charset' is OPTIONAL (see Section 2.1). o No other authentication parameters are defined -- unknown parameters MUST be ignored by recipients, and new parameters can only be defined by revising this specification.

13. Basic 認証の資格情報の作り方 obtains the user-id and password from the user,

    constructs the user-pass by concatenating the user-id, a single colon (":") character, and the password, encodes the user-pass into an octet sequence (see below for a discussion of character encoding schemes), and obtains the basic-credentials by encoding this octet sequence using Base64 ([RFC4648], Section 4) into a sequence of US-ASCII characters ([RFC0020]). userid と password を : で繋ぐ

14. Basic 認証の資格情報の作り方 obtains the user-id and password from the user,

    constructs the user-pass by concatenating the user-id, a single colon (":") character, and the password, encodes the user-pass into an octet sequence (see below for a discussion of character encoding schemes), and obtains the basic-credentials by encoding this octet sequence using Base64 ([RFC4648], Section 4) into a sequence of US-ASCII characters ([RFC0020]). Base64でエンコードする

15. サーバーは逆に利用する • Base64でdecode • : 区切りで分割 • 前半が user id,

    後半が password • それを検証して、想定値でなければ 401 を返す

16. ブラウザはどのように動くのか

17. お題となる実装

18. なんで Ruby ? 発表したかった！！！

19. お題となる実装

20. お題となる実装 表示される！

21. www-authenticate を消すと...??? ID/PASS の 入力フォームがが表示されない！！！

22. realm だけを消すと...??? ID/PASS の 入力フォームがが表示されない！！！

23. realm に適当な値を残すと...???

24. realm に適当な値を残すと...??? 表示される！

25. www-authenticate に realm がないと入力 フォームが表示されない

26. Realmが返ってこない例: digdag

27. digdag • オープンソースのワークフローエ ンジン • バッチの実行サーバーの管理に便 利 • かわいい https://github.com/treasure-data/digdag

28. 管理画面にBasic認証をかけられる？

29. 管理画面にBasic認証をかけられる？ ※ https://gist.github.com/hiroyuki-sato/229302a1867025876de7fd1d8ffa2bf1 ※ https://x.com/hiroysato/status/1181566196455559168

30. コンテンツも表示されない、 資格情報の入力フォームも 表示されない

31. modheader などで無理やりログインする

32. 表示された！

33. Basic認証は普通にフォームから 入力したいのだが

34. 表示されない • ID/PASSWORD入力画面が表示されない • ブラウザ拡張でヘッダーに Basic つける必要がある

35. Realmが付いていないときの挙動だ！！！

36. Realm がない！

37. 401 のときに、 .header("WWW-Authenticate", "Basic realm=\"piyo\"") を追加するとよさそう https://github.com/treasure-data/digdag/blob/eae89b0daf6c62f12309d8c7194454dfb18cc5c3/digdag-server/src/m ain/java/io/digdag/server/GenericJsonExceptionHandler.java#L30 Contribute Chance！

    誰か頼む〜〜〜