ウェブサイトやアプリで「ログイン」するとき、あなたの身元を確認する仕組みが裏側で働いています。この仕組みを「認証」と呼び、目的や安全性によっていくつかの方法があります。ここでは代表的な認証方式を、図解とポイント解説でわかりやすく整理していきます。
Basic認証
sequenceDiagram
participant U as ユーザー
participant B as ブラウザ
participant S as サーバー
B->>S: GET /page
S-->>B: 401 Unauthorized + WWW-Authenticate: Basic realm="example"
U->>B: IDとパスワードを入力
B->>S: Authorization: Basic Base64("ID:PASS")
S-->>B: 200 OK + ページ内容
Digest認証
Basic認証を改良した方式で、パスワードをそのまま送らずにハッシュ値を送信する。
これにより、盗聴されても平文パスワードが直接漏れない仕組みになっている。
sequenceDiagram
participant U as ユーザー
participant B as ブラウザ
participant S as サーバー
B->>S: GET /page
S-->>B: 401 Unauthorized + WWW-Authenticate: Digest (nonce)
U->>B: ユーザー名&パスワード入力
B->>S: Authorization: Digest (username, nonce, ハッシュ値)
S-->>B: 200 OK ページ表示
Cookie認証
ログインに成功すると、サーバーは「セッションID」を発行し、`Set-Cookie` ヘッダでブラウザに渡す。
ブラウザは以降のリクエストで、そのCookieを自動的に送信することで認証を維持する。
sequenceDiagram
participant U as ユーザー
participant B as ブラウザ
participant S as サーバー
U->>S: ユーザー名とパスワード
S-->>B: Set-Cookie: セッションID
B->>S: GET /page (Cookie: セッションID)
S-->>B: 200 OK + ページ内容
トークン認証(例: JWT)
ログインするとサーバーが「トークン(署名付きの身分証明書)」を発行し、
以後のリクエストではそのトークンを使って認証を行う。
sequenceDiagram
participant U as ユーザー
participant B as ブラウザ
participant S as サーバー
U->>S: ログインリクエスト (ID & パスワード)
S-->>B: JWTトークン発行
B->>B: トークンを保存
B->>S: リクエスト + Authorization: Bearer:トークン
S-->>B: トークンを検証 (署名確認、有効期限チェック)
S-->>B: 200 OK ページ表示
OAuth(例: 「Googleでログイン」)
自分のパスワードをアプリに渡さずに、他のサービス(GoogleやTwitterなど)に「認証・認可」を任せる仕組み。
sequenceDiagram
participant U as ユーザー
participant A as あなたのアプリ
participant G as Google(認証サーバー)
U->>A: 「Googleでログイン」ボタンをクリック
A->>G: 認証リクエスト (この人の情報を取得したい)
G-->>U: Googleのログイン画面を表示
U->>G: ID & パスワード入力
G-->>U: 同意画面 (このアプリにプロフィール閲覧を許可しますか?)
U->>G: 許可する
G-->>A: アクセストークン発行
A->>G: アクセストークンを使ってユーザー情報取得
G-->>A: ユーザー情報返却
A->>U: ログイン完了!
まとめ
- Basic認証: IDとパスワードを直接送る(古い、要HTTPS)
- Digest認証: ハッシュを使う(今はほぼ使わない)
- Cookie認証: クッキーに印をつけて確認する
- トークン認証(JWTなど): 合言葉を発行して、それを持ち歩く
- OAuth: 他のサービスに本人確認を頼む
