Basic認証はWebの特定の領域にアクセス制限をかける認証方法
Basic認証が設定できる範囲は基本的にディレクトリ単位のみとなる
.htaccessファイルを設置したディレクトリ全体がBasic認証の範囲となる(ルートディレクトリに.htaccessを設置することで全体にベーシック認証をかけている)
### AWS WAFだけのBasic認証の設定
WAF Ruleの作成
– If a request: doesn’t match the statement(NOT)
– Inspect: Header
– Header field name: authorization
– Match type: Exactly matches string
– String to match: Basic xxxxxxx (User:PasswordをBase64エンコードした値を設定)
$ echo -n user:password | base64
Action
– Block
– Enable, 401
– Key: www-authenticate, Value: Basic
Basic認証完了後はブラウザを閉じるまで有効
ベーシック認証は、ユーザーが正しいIDとパスワードで認証に成功した場合、ブラウザを閉じるまでの間は再認証なしで何度でもアクセスすることが可能になります。ブラウザさえ閉じていなければ、仮に、違うWebサイトを閲覧した後でも認証なしで再びアクセスすることが可能です。
ブラウザがログイン情報を記録
一度ベーシック認証で認証に成功してしまえば、ユーザー名とパスワードはブラウザに記憶され、再び入力する手間を省くことができます。ただし、あくまでブラウザに依存する機能なので、ブラウザの種類やバージョン、ネットワークの状態によってはログイン情報が保存されない可能性があります。また、スマホではベーシック認証のログイン情報が保持されないことがほとんどですので、利用する際のブラウザやデバイスには注意が必要です。
なるほど、ブラウザ側の仕様なのね。少し理解した。
