情報セキュリティ対策|フォーム認証とは

フォーム認証とは

前回、「簡易的な認証の仕組み」であるBASIC認証をご紹介しました。

今回は、フォーム認証についてご紹介します。

これは、一般的なシステムで使われるものです。
BASIC認証がWebブラウザの機能に依存していたのに対して、
フォーム認証はブラウザの機能ではなくキッチリと開発されるものです。

フォームに入力されたIDとパスワードを、データベースの内容と照合し、
内容に応じてページを切り替える等、ECサイトなど多くのサービスで使われます。

BASIC認証よりも安全

BASIC認証はページ横断の際に逐一ログイン情報を送信しなければいけませんでした。
それに比べると、フォーム認証では、認証後「セッション機能」を使って利用者が誰であるかを特定し続けます。
ですので、一度ログインすればその後の操作で毎回ログイン情報をやり取りせずとも済みます。

当然、BASIC認証よりも安全なわけです。
また、「セッション情報」は複数のサーバーをまたいで引き継ぐことができるため、
ドメイン構成などを利用者は意識せずに済みます。

フォーム認証で気をつけること

フォーム認証は、機能自体独自に開発されることが多く、
セキュリティを意識した実装をしているかどうか、エンジニア・会社の力量に依存します。

細かい話を抜きにして、最低限チェックすべきなのは、SSL暗号化しているかどうかです。
最低限、ログイン画面で「https://」通信できているかのチェックは必須です。
もちろん、サイト全体をhttpsで通信を暗号化すればより安全といえます。

以上、フォーム認証についてご紹介しました。