Basic認証とは何ですか？

HTTPの標準的な認証方式の一つ。ユーザー名とパスワードをBase64エンコードしてリクエストヘッダに含めて送信する、最もシンプルな認証方法。

Basic認証のポイントは？

HTTPの標準仕様（RFC 7617）に定められた最も基本的な認証方式。ユーザー名とパスワードをBase64エンコードしてAuthorizationヘッダに含めて送信する。Base64は暗号化ではないため、HTTPS（TLS）と併用しないと盗聴される危険がある。手軽に導入できるため、開発環境の保護やAPI認証の初期段階でよく使われる

【べーしっくにんしょう】

Basic認証とは？

💡 ユーザー名とパスワードを送るだけのシンプル認証

📌 このページのポイント

HTTPの標準仕様（RFC 7617）に定められた最も基本的な認証方式
ユーザー名とパスワードをBase64エンコードしてAuthorizationヘッダに含めて送信する
Base64は暗号化ではないため、HTTPS（TLS）と併用しないと盗聴される危険がある
手軽に導入できるため、開発環境の保護やAPI認証の初期段階でよく使われる

Basic認証のイメージ

ひよこ

Basic認証ってどういう仕組みなの？

ペンギン先生

すごくシンプルだよ。ユーザー名とパスワードを『:』でつなげて、Base64でエンコードして、HTTPリクエストのAuthorizationヘッダに入れて送るだけなんだ。サーバー側はそれをデコードして検証するよ。

ひよこ

Base64でエンコードするなら安全なの？

ペンギン先生

ここが重要なポイントで、Base64は暗号化じゃなくて単なるエンコードなんだ。誰でも簡単にデコードできる。だからBasic認証を使うときは必ずHTTPSと組み合わせないと、パスワードが丸見えになっちゃうよ。

ひよこ

ブラウザでBasic認証にアクセスすると、ダイアログが出るよね？

ペンギン先生

そうそう。サーバーが401ステータスと一緒にWWW-Authenticateヘッダを返すと、ブラウザが自動的にユーザー名・パスワードの入力ダイアログを表示してくれるんだ。この仕組みはHTTPの標準だから特別な実装は不要だよ。

ひよこ

今でもBasic認証は使われているの？

ペンギン先生

本番サービスのユーザー認証にはあまり使われないけど、開発・ステージング環境のアクセス制限やCI/CDのAPI認証なんかでは今でも現役だよ。NginxやApacheで数行の設定で有効にできる手軽さが重宝されているんだ。

ひよこ

もっと安全な認証方式はあるの？

ペンギン先生

OAuthやJWTを使ったトークンベースの認証が主流だね。Basic認証と違って、パスワード自体をリクエストごとに送る必要がないし、権限のスコープも細かく制御できるよ。

まとめ：ざっくりこれだけ覚えればOK！

「Basic認証」って出てきたら「IDとパスワードをヘッダに乗せて送るシンプルな認証」と思えればだいたいOK！

📖 おまけ：英語の意味

「Basic Authentication」＝基本認証

💬 HTTPの仕様で最初に定義された認証方式だから『Basic（基本）』という名前なんだよ

← 用語集にもどる

Basic認証 とは？

Basic認証とは？