この記事を書いた人
高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
authorizationヘッダーとは?
authorizationヘッダーは、HTTPリクエストの一部としてサーバーに送る「権限情報」を伝える仕組みです。名前は Authorization ヘッダーで、WebAPIやログインが必要なサービスでよく使われます。
使い方の基本
ほとんどの場合、クライアントはサーバーに対して「この人は認証済みですか?」と尋ねるために Authorization ヘッダーを使います。よく使われるのは Bearer トークンという形で、サーバーが発行した短い文字列(トークン)をヘッダーに入れて送ります。
実際のリクエストの例
| リクエスト | GET /api/user HTTP/1.1 |
|---|---|
| Host | example.com |
| Authorization | Bearer abcdefghij |
このように送ると、サーバーは Authorization ヘッダーの中身を確認して、そのトークンが有効であれば認可を返します。
Bearerトークンと基本認証の違い
よく混同されがちですが、Bearerトークンは認証された後にサーバーから渡される一時的な文字列を使います。対して 基本認証は usernameとpasswordを base64 でエンコードして送信します。基本認証は平文のパスワードを送ることがあるため、HTTPSを使っても長期的には安全性が低いと考えられます。
セキュリティのポイント
Authorization ヘッダーを用いるときは、必ず HTTPSを使い、トークンの有効期限を短めに設定します。トークンを手に入れる際の認証情報は複雑で推測されにくいものにしましょう。デバイスを離れるときはログアウト処理を行い、他人と共有しないことが大切です。
- Bearerトークン
- サーバーが発行する短命な認証情報で、Authorization ヘッダーに入れて送ります。
- 基本認証
- usernameとpasswordを base64 で送る方法。セキュリティ上のリスクが高いことがあります。
- HTTPS
- 通信を暗号化するプロトコル。認証情報を保護するために必須です。
最後に覚えておきたいのは、authorizationヘッダーは「認可を知らせる道具」であり、正しく使えばAPIを安全に利用できます。初めて扱う場合は、公式のドキュメントで使い方を確認し、常にセキュリティを第一に考えましょう。
authorizationヘッダーの同意語
- Authorizationヘッダー
- HTTPリクエストのヘッダの一つ。サーバーに認証情報を提示する際に使い、BearerトークンやBasic認証などを含むことが多い。
- 認証ヘッダー
- 認証情報を送信する用途のヘッダという意味で、Authorizationヘッダーと同義で日常的に使われる表現。
- 認証情報ヘッダー
- 認証に必要な情報(例:トークンやクレデンシャル)を含んで送るヘッダ。主にAuthorizationと同じ役割を指す。
- 認証トークンヘッダー
- 認証用トークンを送るヘッダ。Bearerトークンなど、トークン形式の認証情報を指す際に使われる表現。
- Bearerトークンヘッダー
- Bearer方式のアクセストークンを含む認証情報を送るヘッダ。多くのAPIで採用される代表的な形式。
- Bearer認証ヘッダー
- Bearerトークンを使った認証情報を送るヘッダ。別名として用いられることがある。
- HTTP認証ヘッダー
- HTTPプロトコルで定義された認証情報を送る専用ヘッダ。ウェブAPIで広く使われる標準的な表現。
- アAccessトークンヘッダー
- アクセストークンを含む認証情報を送信するヘッダの意味で、認証の一形態を指す。
- アクセストークン認証ヘッダー
- アクセストークンを利用した認証情報を送るヘッダ。Bearerトークンなどが該当。
authorizationヘッダーの対義語・反対語
- 未認証リクエスト
- Authorizationヘッダーが欠如している、または空の認証情報を含むリクエスト。身元が特定されず、認可判断ができません。
- 匿名アクセス
- ユーザーの身元を特定せずにリソースへアクセスする状態。通常、認証が不要な公開リソースに適用されます。
- 公開アクセス
- 認証情報を必要とせず、誰でもアクセスできるリソースまたはエンドポイントへのアクセス状態。
- WWW- Authenticateヘッダー
- サーバー側がクライアントに認証情報の提供を促すために返すヘッダー。クライアントはこの指示を受けてAuthorizationヘッダーを送信します。
- 認証ヘッダー(概念上の対義語)
- Authorizationは“認証・認可情報を送るヘッダー”という意味で、対義語として挿入されることがある“認証情報を扱うヘッダー”という概念。実務上は別名のヘッダーではなく、用語の対比として使われます。
- アクセス拒否(403 Forbidden)
- 適切な認証・認可がないためにアクセスが拒否された状態。ヘッダー自体の対語ではなく、認可の不成立を結果として表す代表的な状態です。
authorizationヘッダーの共起語
- Bearer
- Authorizationヘッダーで使われる認証スキームの名称。'Bearer <トークン>' の形式でトークンを送信します。
- Bearerトークン
- Bearerスキームで送るトークン。APIアクセスを許可する役割を持つ。
- アクセストークン
- APIへアクセスする権利を表す短時間有効なトークン。
- JWT
- JSON Web Tokenの略。署名付きのトークン形式で、Bearerトークンとして運用されることが多い。
- JSON Web Token
- JWTの正式名称。ペイロードに情報を含むトークン形式。
- トークン
- 認証・認可で用いられる識別子。権限を示す鍵となることが多い。
- OAuth 2.0
- 広く使われる認可フレームワーク。Bearerトークンを用いる場面が多い。
- OAuth2
- OAuth 2.0の略記。
- Basic認証
- Authorization: Basic
の形式。ユーザー名とパスワードをBase64でエンコードして送信。 - Digest認証
- Authorization: Digest <...> の形式。チャレンジ/レスポンス方式の認証。
- RFC 7617
- HTTP Basic認証の標準仕様。
- RFC 6750
- Bearer Tokenの標準仕様。
- HTTPヘッダー
- HTTPリクエスト/レスポンスのヘッダー領域。Authorizationはこの中の1つ。
- 認証
- 利用者が正しいことを証明する仕組み。
- 認可
- 認証済みユーザーに対して何を許可するかを決める仕組み。
- セキュリティ
- 不正アクセスを防ぐための機密性・整合性・可用性の確保。
- クレデンシャル
- 証明情報。ユーザー名、パスワード、トークンなど。
- WWW-Authenticate
- サーバーが認証を要求するときに返すレスポンスヘッダー。
- token_type
- OAuthレスポンスで指定されるトークンの種類。例: Bearer。
- Base64エンコード
- Basic認証で username:password を送る際に使われるエンコード方式。
- APIエンドポイント
- 保護されたAPIを指すエンドポイント。
authorizationヘッダーの関連用語
- Authorizationヘッダー
- HTTPリクエストのヘッダー名。クレデンシャルを送るための標準的なフィールドです。
- Bearerトークン
- Bearerスキームで送るアクセストークン。'Authorization: Bearer
' の形で使われます。 - Basic認証
- ユーザー名とパスワードをBase64エンコードして送信する認証方式。'Authorization: Basic <base64>' の形。
- Digest認証
- パスワードを平文で送らずに認証を行う方式。'Authorization: Digest ...' の形で利用されます。
- X-API-KEYヘッダー
- APIキーを送信する代表的なヘッダー。APIの利用を認証するために使われます。
- APIキー
- APIの利用を認証するキー。一般にHeaderやクエリで送信されます。
- JSON Web Token (JWT)
- 署名付きのJSON形式トークン。認証・認可情報を含み、Bearerトークンとしてよく用いられます。
- OpenID Connect
- OAuth 2.0の上に成り立つ識別レイヤー。IDトークンでユーザーの身元を検証します。
- OAuth 2.0
- 認可フレームワーク。クライアントがリソースへアクセスする権限を取得する標準プロトコルです。
- 認可コードフロー
- OAuth 2.0の代表的フロー。認可コードを取得してサーバー側でアクセストークンに交換します。
- インプリシットフロー
- ブラウザ上で直接アクセストークンを受け取るフロー。最近は推奨されません。
- クライアントクレデンシャルフロー
- クライアント自身を信頼できる場合に用いるトークン獲得の方式。
- リソースオーナーパスワード認証フロー
- ユーザーの資格情報を直接扱う認証フロー。セキュリティ注意が必要です。
- アクセストークン
- APIアクセスを許可する短命のトークン。通常Bearerトークンとして使われます。
- リフレッシュトークン
- アクセストークンを更新するための長寿命トークン。
- IDトークン
- OpenID Connectで用いられる識別情報を含むトークン。通常JWT形式です。
- トークンエンドポイント
- OAuth 2.0でトークンを発行・更新するサーバーのURL。
- スコープ
- アクセス権の範囲を表す文字列。例: read, write, profile など。
- 署名付きリクエスト
- リクエスト自体を署名して改ざんを防ぐ認証方法。AWS SigV4などの例があります。
- 署名アルゴリズム
- JWTや署名付きリクエストで用いられる暗号アルゴリズム。例: RS256, HS256 など。
- RSA署名/ES署名
- JWTの署名に使われるアルゴリズム。RS256(RSA)や ES256(ECDSA)など。
- Base64エンコード
- Basic認証で資格情報を送る際に、ユーザー名とパスワードをBase64に変換します。
- WWW-Authenticateヘッダー
- サーバーが認証を要求するときに返す挑戦情報を含むヘッダーです。
- HTTPS/TLS
- Authorizationヘッダーの機密性を確保するために必須の通信暗号化。
- RFC 6750
- Bearer Tokenの使用方法を規定したHTTP RFC。Authorizationヘッダーの主な規定を含みます。
- RFC 7617
- Basic認証の仕様を規定するRFC。
- RFC 7235
- HTTP認証フレームワークの基本仕様。Authorization/ WWW-Authenticateの枠組みを提供します。
authorizationヘッダーのおすすめ参考サイト
インターネット・コンピュータの人気記事
14220viws
2358viws
1047viws
891viws
876viws
752viws
692viws
690viws
685viws
640viws
576viws
572viws
536viws
529viws
491viws
459viws
380viws
375viws
373viws
359viws