一般ユーザー向けに提供する限定公開 URL のセキュリティと Basic 認証について、調査、検討した内容をご紹介します。

背景 特定のユーザーだけアクセスできる URL

まず、特定のユーザーだけがアクセスできる URL を用意したいという要件が背景にあります。

この要件を満たす方法として、以下のアプローチが考えられます。

1. 限定公開 URL
2. Basic 認証

限定公開 URL のセキュリティについて

『認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版 - Google スライド』 に詳しく説明されています。

Basic 認証

ステージング環境だけに Basic 認証を設定するということはよくあると思います。

一方で Basic 認証を掛けた状態で、一般ユーザーの方に利用してもらうというのは以下の理由でハードルが高いと考えています。

• Basic 認証を対応してないブラウザ、アプリが存在する （例 Yahoo! メールアプリ)
• Basic 認証のログイン画面がブラウザデフォルトで、デザインやテキストなどカスタマイズできない
• Basic 認証のログイン情報と、ユーザー個人のログイン情報を勘違いしてしまう

以上、限定公開 URL のセキュリティと Basic 認証の使い勝手について気にしている、現場からお送りしました。