• ベストアンサー
  • 暇なときにでも

ApacheのBASIC認証の有効期間

ApacheのBASIC認証なのですが、私は勉強のために自宅サーバに導入しました。ところで疑問があるのですが、有効期間の扱いはどのようになっているのでしょうか。 つまり、一度BASIC認証のページを閲覧してパスワードを入力してページを見られるようになったとします。すると、もはや二度とパスワードを尋ねられることはないのでしょうか?それとも、何らかのタイミングでリセットがかかり、再度パスワードを求められることがあるのでしょうか? ブラウザのキャッシュクリアを試しましたが効果はなく、Apacheのプロセス再起動でも効果はなく、「○○ユーザは認証済み」という情報をいったいどこで保持しているのかという疑問です。 分からなくて不都合があるというわけではないのですが、知りたいのです。Apache.orgの関連項目を見たりググってみたりしましたが分かりませんでした。よろしくお願いいたします。 OS:FedoraCore3 Apache:2.2.0

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数8233
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • galluda
  • ベストアンサー率35% (440/1242)

がると申します。 んっと…多分「Basic認証」自体について調べてみるとよろしいかと。 サーバ側で見た場合。Basic認証は「毎回、ブラウザからIDとパスワードを送ってもらう」作りになっています。したがって、サーバ側にはなんのキャッシュも存在しません。 一方で、ブラウザ側は、したがってキャッシュデータとしてIDとパスワードを持っているのですが。知っている限りでは、これらのキャッシュを消す方法はどのブラウザでも明示されていないかと思います。 原則、Basic認証に有効期間とかないです。そういったものを設定する意味があるほどセキュアでもなんでもないので。 というか、あれは認証じゃないです(苦笑 # セキュリティへの配慮が0に等しいという意味で。 こんな感じで回答になりますでしょうか?

共感・感謝の気持ちを伝えよう!

質問者からのお礼

本当ですね。 「BASIC認証」そのものについて調べてみたら一発でした(^^) ブラウザ側で一度入力したID/PASSを保持しているのですね。しかしながら通常のクリア方法(Ctrl+F5)ではクリアできないので、この部分はどうやってクリアするのか謎ですね。 私が知りたいことが分かりましたので十分です。どうもありがとうございました。

関連するQ&A

  • ApacheのBasic認証のログの取り方

    質問させて頂きます。 現在ホームページを作成しているのですが、 ホームページ内のあるページにアクセスする際にBasic認証をかけ、 こちらが発行するIDとパスワードを持っている人しかページを表示できないようにしたいと考えています。 そして、認証したときは時刻、ID、リモートアドレス等の情報のログを取りたいのですが、ログを取るには何が必要でしょうか? スクリプトとか必要なのでしょうか? はじめてBasic認証をやるので何もわからない状態です。 よろしくお願いします。

  • BASIC認証の画面すら出したくないとき

    私は、.htaccess(BASIC認証)で、趣味の会員制サイトを運営していますが、パスワードを教えていない人が、頻繁にアクセスしてくることで、悩んでいます。 サーバーのエラーログを見て、つい最近気づいたのですが、知ればなんとなく気持ち悪くて、どうにかしたいと思うようになりました。 相手(複数いる)のIPアドレスは分かっています。 こういう場合、特定のIPアドレスは違うページに飛ばして、BASIC認証の画面すら見せないようにする設定が、.htaccessでできますでしょうか? 認証の画面を出したくない理由は、色々なパスワードで繰り返しトライされるのが嫌なのと、その飛ばしたページで、「入室したいのであれば、パスワードの請求をして欲しい」ということを、説明したいと思っています。 自分で調べた限りでは・・特定のIPだけは認証なしで通して、それ以外に認証をかけるというのならば、例をいくつも見つけたのですが、特定のIPだけは飛ばして、それ以外に認証をというのを、見つけることができませんでした。 お手数ですが、教えていただけますと幸いです。 どうぞよろしくお願いします。

    • ベストアンサー
    • HTML
  • BASIC認証にて、.htpasswdファイルにMD5化されたパスワー

    BASIC認証にて、.htpasswdファイルにMD5化されたパスワードが定義された状態で、 ブラウザより認証を行なうと、平文で認証が行われ、認証が失敗してしまいます。 ブラウザより、MD5化されたパスワードをコピペで入力すると認証が成功します。 いろいろなサイトを見ましたが、特に設定しなくてもMD5で比較してくれるものと思います。 家にマシンが3台あり、centosにもともとインストールされているapacheではMD5で認証してくれており、windowsにインストールしたapacheでは失敗します。全て2.2です。 MD5で認証するにはどうしたらよいでしょうか。(DIGEST認証ではなくBASIC認証が必要です。)

  • WordPressでBASIC認証のようなもの。

    WordPress 2.7.1で、アクセスした場合に認証を行うようなプラグインはあるでしょうか? もしくはIPアドレスによって別のページにジャンプさせるなど BASIC認証のようなものでワードプレスの設定でパスワードを変えたりしたいです。

  • Basic認証のユーザー名とパスワードはどこに貯められる?

    Basic認証で一度認証されると、その後は入力不要になったりしますが、どこに記憶されているのでしょうか? 「パスワードを記憶する」チェックボックスをチェックすると、再起動後も不要になるのでしょうか?チェックした場合に、それをクリア・削除する事は出来ますか? パソコンを共有してる場合に、再起動後に再び認証をかけたいのです。 宜しくお願い致します。 Apache htaccess で認証かけてます。 WinXP。

  • BASIC認証について

    どのカテゴリーで質問していいのかわからずここまで来ました・・・ WEBページで会員専用ページなどでポップアップでユーザ名・パスワードを入力する認証方法(BASIC認証)ですが、これを英語表現したいのですが、どのような言葉になるのでしょうか? 海外の企業に問合せを行うのですが、上記認証の英語表現がわかりません。。。どんな言葉になるのでしょうか。

  • BASIC認証をSSLで使用する場合

    私は現在XREAという.htaccessOKのサーバ屋のサーバを使っています。 このサーバは非公開ディレクトリも作成できるので そちらにいろいろと非公開コンテンツを乗っけようと思いましたが CGIが対応していないようなので公開ディレクトリの下に BASIC認証を敷こうと思っています。 そのさい、単にBASIC認証だとパスワードが平文で送信されるそうなので パスワードを認証して最初のページに入るまでSSLを使用し、 BASIC認証の弱点を克服することが出来たらと思っております。 どうすればhttps://の状態でBASIC認証をかけることができるか、 また認証後http://に戻すにはどうすればいいのか、ご存知の方 いらっしゃいましたらご教授願います。

  • Basic認証ができません

    自宅サーバーを立てました。しかしBasic認証ができません。 httpdに以下のように記述しました。プロテクトフォルダーにアクセスすると認証画面は表示されますが、ユーザー名とパスワードを正しく入れても正しく認証されません。.htpasswdと.htaccessは設置してあります。他に何を設定すればいいのでしょうか? <Directory "C:\www\cgi-bin\protect\members"> AuthType Basic AuthName "会員専用" AuthUserFile C:\www\cgi-bin\protect\members.htpasswd Require valid-user </Directory>

  • basic認証を何度も行うには

    いつもお世話になります。 htmlにて入力されたID、パスワードを元に、サーブレットからあるページへアクセスし、そのページではbasic認証となっているのですが、java.net.Authenticatorクラスを使用してbasic認証を行う、という簡単なWebアプリケーションを作成しています。 サーブレットでは以下の実装を行っているのですが(抜粋)、 -------------------------ここから String username = req.getParameter("username"); String password = req.getParameter("password"); Authenticator.setDefault(new HttpAuthenticator(username, password)); URL url = new URL("[basic認証が必要なページのURL]"); HttpURLConnection connection = (HttpURLConnection)url.openConnection(); -------------------------ここまで この実装では、一度認証が成功すると、以降、どのようなID、パスワードを入力しても(間違ったものを入力しても)認証に成功してしまいます。 正しいID、パスワードの時のみ認証に成功させるようにするにはどうすればよいでしょうか。 宜しくお願い致します。

    • ベストアンサー
    • Java
  • BASIC認証のようなパスワード認証ありませんか?

    BASIC認証のようなパスワード認証できるプログラム、もしくは手法を探しています。 動作はBASIC認証で全く問題ないのですが、キャンセルボタンを押した後認証画面を閉じるようにしたい… と言われたのでプログラムによる方法を考えています。 (BASIC認証だとキャンセルボタンを押すと標準でエラーページに遷移するので) PHPやPerlによるパスワード認証のサンプルプログラムをいくつかDLしてきました。 ただ、ダウンロードしたサンプルソースでは、パスワードを入力後、ページの遷移を行った際に、 そのページからリンクを貼られているhtmlやPDFファイル等のURLページをダイレクト入力するとパスワードロックがかかりません。 PHPやPerlのソースを見てみるとPHPやPerlのソースにhtml表示させているように見受けられました。 もし、PDFファイル等にもロックをかけたい場合はPHPやPerlにソースを書けないですよね? PDFやワード等の参照もパスワードロックの場合PHPやPERLでパスワードロックをかけれるのでしょうか? で、下記が相談になります。 BASIC認証のようにフォルダ配下のどのページをアクセスしてもパスワード認証を聞かれるような サンプルソースがあるサイトは何処かにありませんか? (もしくは複数ページにロックをかけられるもの) もしくは、下記のようにBASIC認証をカスタマイズ設定できる方法。(下記はIE7が使用不可なので利用できません) http://blog.firstlife.jp/2009/06/28/basic%E8%AA%8D%E8%A8%BC%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%90%8D%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89html%E3%81%AE%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0%E3%81%A7%E5%87%A6%E7%90%86/ XOOPSをちょっと聞いたのですが、知識がなくとっつきにくい為、もう少し手軽に設置できるような方法はありませんでしょうか? よろしくお願いします。

    • ベストアンサー
    • HTML