credentials (HTTP)

[11] credentials は、HTTP認証における認証のための利用者名やパスワードなどの情報を記述したものです。 Authorization: ヘッダーなどで使われます。

仕様書

[20] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) <https://tools.ietf.org/html/rfc7235#section-2.1>
[13] RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content (2014-06-07 01:55:45 +09:00 版) <https://tools.ietf.org/html/rfc7231#section-5.4>
[12] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) <https://tools.ietf.org/html/rfc7235#section-5.1.2>
[25] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) <https://tools.ietf.org/html/rfc7235#section-6.2>
[32] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) <https://tools.ietf.org/html/rfc7235#section-6.3>
[42] RFC 7617 - The 'Basic' HTTP Authentication Scheme (2015-10-01 09:47:40 +09:00 版) <https://tools.ietf.org/html/rfc7617#section-2.2>

構文

[21] credentials は、 auth-scheme のみか、その後に auth-param のリスト (#) または token68 を続けたものです。

[22] auth-scheme の後に続く場合には auth-scheme の後に1文字以上の SP が必要です。

auth-scheme
?
1. +
  1. SP
2. |
  1. auth-param のリスト
  2. token68

[2] RFC 1945 や RFC 2068 では、原則として auth-param のリスト (#) ながらも、基本認証だけ特別な構文とされていました。 RFC 2617 ではなぜか基本認証の場合が示されていませんでした。 RFC 7235 で基本認証の場合が token68 に置き換えられました。

[3] RFC 2617 までは区切りの SP が省略されていて、 LWS が暗示的に挟まるとも明記されていませんでした。

[4] auth-param や token68 の部分は auth-scheme によって異なる構文となります。どの auth-scheme でも共通して必須である引数はありません。

[23] 詳しくは auth-scheme と各認証方式の項を参照。

[24] token68 は既存の認証方式の構文との互換性のためのもので、新しい認証方式は使うべきではありません (ought to) >>22。

[37] とされてはいるものの、 Basic や Bearer など token68 形式はよく使われています。

authorization credentials

[14] 次のヘッダーは、 authorization credentials に分類されています >>13。

[15] X-WSSE: もこの分類に含めるのが適当かもしれません。

[16] これに属するヘッダーは、 TRACE に対する応答に含めるべきではないでしょう。

文脈

[7] credentials は Authorization: ヘッダーや Proxy-Authorization: ヘッダーの値として使われます。

適用範囲と再利用

[5] 利用者エージェントがある credentials を自動的に適用できる範囲は、ホストと realm による保護空間により決まります。当該 creadentials 付きの要求が一旦認証されれば、それを同じ空間の別の要求に対しても、 auth-scheme、 auth-param、あるいは利用者の設定によって決まる期間、再利用して構いません。 >>1, >>8

[6] auth-scheme によって特に決められていない限り、保護空間を鯖を超えて延長することはできません。 >>1, >>8

[26] 利用者エージェントによる credentials の保存の期間を満了させたり、破棄させたりする方法は HTTP としては規定されていませんが、認証方式によってはそのような仕組みを規定することもできます。 >>25

[27] 利用者エージェントは保存されている利用者が credentials を破棄できる仕組みを提供することを推奨 (encourage) されています >>25。

[28] 最近の Webブラウザーにはパスワードマネージャーのような機能があり、サイトごとのパスワードを個別に削除できます。

[29] また、一括またはサイトごとのパスワードを消去する機能を用意している Webブラウザーや、終了時に消去するシークレットウィンドウのような機能を用意している Webブラウザーもあります。

[30] 現在の Webブラウザーの一般的な実装では、ある保護空間に対する Webブラウザーのセッションの初回 401 応答では保存されているパスワードを補完した入力ダイアログボックスを表示し、以後のアクセスでは予め credentials を指定した要求を送信するようになっています。

[31] 自動的な credentials の送信をやめるよう著者が鯖側から指示する「ログアウト」機能が度々提案されていますが、そのような機能が必要な場合は Cookie認証が用いられることが多く、特に必要性は高く無いとして Webブラウザー開発者等の関心は高くないのが実情のようです。

[33] この Webブラウザーの自動的な credentials のため、一つのホストを複数の著者が共有しているような場合に、他の著者の資源に対するパスワードを受信することが可能となってしまいます。 realm を指定しても対策にはなりません >>32。

[34] これは Webブラウザーの問題とは考えられていません。これが問題となるような場合、鯖側の管理者は著者にHTTP認証の機能を提供するべきではありません。

[38] 基本認証においては、要求の対象URLから path 部分の最後の / の後の文字をすべて削除したものが、当該要求の認証範囲 (authentication scope) となります。クライアントは、認証範囲と接頭辞一致する URL によって表される資源は、当該要求の realm で表されるのと同じ保護空間内にあるものと仮定するべきです。 >>42