限定公開 URL のセキュリティと Basic 認証

Tadashi Shigeoka ·  Sat, August 15, 2020

一般ユーザー向けに提供する限定公開 URL のセキュリティと Basic 認証について、調査、検討した内容をご紹介します。

限定公開 URL のセキュリティ

背景 特定のユーザーだけアクセスできる URL

まず、特定のユーザーだけがアクセスできる URL を用意したいという要件が背景にあります。

この要件を満たす方法として、以下のアプローチが考えられます。

  1. 限定公開 URL
  2. Basic 認証

限定公開 URL のセキュリティについて

『認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版 - Google スライド』 に詳しく説明されています。

Basic 認証

ステージング環境だけに Basic 認証を設定するということはよくあると思います。

一方で Basic 認証を掛けた状態で、一般ユーザーの方に利用してもらうというのは以下の理由でハードルが高いと考えています。

  • Basic 認証を対応してないブラウザ、アプリが存在する (例 Yahoo! メールアプリ)
  • Basic 認証のログイン画面がブラウザデフォルトで、デザインやテキストなどカスタマイズできない
  • Basic 認証のログイン情報と、ユーザー個人のログイン情報を勘違いしてしまう

以上、限定公開 URL のセキュリティと Basic 認証の使い勝手について気にしている、現場からお送りしました。