認証

概要

ベーシック認証

httpに組み込まれている。パスワードはbase64で送られるので暗号化されていない

ダイジェスト認証

httpに組み込まれている。ハッシュで暗号化

セッションベース認証

cookie

トークンベース認証

トークンを奪われると終わる

トークンにサーバ側で署名する→その署名が改竄されていないことを確かめるだけなので少ない計算量

ワンタイムパスワード

デバイスを利用した強固な認証

デバイスなくすと終わる

OAuth,OpenID

SNSとかのアカウント

人間自体を認証するパターンとコンテンツ自体を認証するパターンとに分かれる

トークンの種類

利用できるかがトークンの所有のみで決定されるタイプのトークン。署名なしトークンとも

それを持ってきた存在にアクセス権限を与えるというシンプル→流出すると終わるよ

例えると、駅の切符

→Googlサインインするとbearerトークンがブラウザに保存される

cookieとかも

Proof of possessionトークン

所有の証明トークン

Bearerは所有していてばよかったのに対しpopではトークンの権利所有者であることも証明しないといけない

例えると、国際飛行機チケット。チケットの提示だけでなく氏名の確認も行われる

トークンバインディングとかもかな

参照