基本認証
最終更新日 2021-04-16
Basic 認証はエッジでウェブサイトを保護する簡単な方法です。ユーザーが Basic 認証で保護されたページにアクセスするには、ユーザー名とパスワードの組み合わせを入力します。テスト環境やステージング環境などリスクの低いページであれば、Basic 認証を使用してアクセスを制限することができます。
警告
機密情報へのアクセス制限に基本認証を使用すべきではありません。詳細については、セキュリティへの考慮を参照してください。
VCL または Compute@Edge を使用する
Basic 認証はカスタム VCL、VCL スニペット、または Compute@Edge を使用することで実装できます。詳細については、HTTP Basic 認証の例を参照してください。
GCS での Basic 認証
Google Cloud Storage (GCS) をオリジンサーバーとして利用し、Basic 認証を行うには、リクエストヘッダーを追加し、 http.Authorization
ヘッダーが GCS に送信されないように削除します。GCS がこのヘッダーを受信するとリクエストの代わりに「Not Authorized」メッセージを返します。
セキュリティへの考慮
Basic 認証の使用にあたり、何点かセキュリティ上の考慮事項があります。
- Basic 認証はリスクの高い情報を保護できません。機密情報へのアクセスを制限する用途では使用しないでください。
- TLS を利用していない場合、パスワードは Base64 エンコードのままネットワークに送信されます。エンコードされた文字列は Wireshark などのアプリケーションを使用して簡単にキャプチャされ、平文に変換できます。
- パスワードはユーザーの Web ブラウザによってキャッシュされ、ユーザーの Web ブラウザによって永久に保管されます。
アクセス制御リストの使用
Basic 認証の代わりに、アクセス制御リスト (ACL) を使用して、IP アドレスのセットをホワイトリストに登録することで、アセットへのアクセスを制限することもできます。ACL で IP アドレスをホワイトリストに登録するには、カスタム VCL を Fastly のボイラープレート VCL に追加します。
1
2
3
4
5
6
# Who is allowed access ...
acl local {
"localhost";
"192.168.1.0"/24; /* and everyone on the local network */
! "192.168.1.23"; /* except for the dial-in router */
}
詳細については、ACL ガイドを参照してください。