コメント
コメントの投稿
※名前とタイトルが入力されていないコメントでは他のコメントとの区別ができません。
入力されていないコメントには返信しませんのであらかじめご了承くださいませ。
基本認証とフォーム認証の併用について | asp.net
- 2018/07/11
- 20:30
今回は asp.net において IIS の基本認証と asp.net のフォーム認証を併用する際の注意点について触れていきたいと思います。
多くの Web サイトでは公開前に基本認証( Basic 認証)を設定して外部からのアクセスを遮断し、公開したら認証を外すことが多いと思います。またテスト環境でも外部からのアクセスを防ぐために基本認証を設定することもあると思います。
その際、asp.net の Web フォームにフォーム認証を実装していることで意図しない動作をすることがありましたので、ここに覚え書きします。
前提条件
・Windows 7 Professional 以降 / Windows Server 2008 R2 以降
・Visual Studio 2010 Professional 以降
・VB.NET
・.Net Framework 4.0 以降
1.IISの基本認証の設定
まずはおさらいがてら、基本認証の設定方法について見ていきます。デフォルトでは IIS に基本認証がインストールされていませんので、以下の手順でインストールします。
コントロールパネル > プログラムと機能 > Windows の機能の有効化または無効化
次に IIS マネージャーを開き、任意のアプリケーションまたはディレクトリを選択して、認証から基本認証を有効にします。
IIS 上で構成されている Web サイトを開くと基本認証を求められることが分かります。
2.フォーム認証の実装
次にフォーム認証の実装方法ですが、マイクロソフトの公式サイトにも載っていますし、以前の記事「セッションハイジャック対策がされているか確認する方法」でもご紹介しておりますので、ご参考ください。フォーム認証が実装できましたら、フォーム認証の <deny users="?" /> の設定を削除して <allow users="*" /> の設定を追加します。(※通常の設定はフォーム認証割れていない場合はログインフォームにリダイレクトですが、ここではフォーム認証のリダイレクトではないことを証明するためにわざと認証しなくてもアクセスできるように設定します。)
3.動作の確認
上記の実装ができましたら、動作を確認します。デバッグを開始すると初めからログインページが開いてきます。
基本認証を外してみると allow users="*" で設定した通りどのページでも開けるようになります。
実はこれ、IIS の基本認証とフォーム認証の併用が不可だということの証明です。IIS で基本認証を設定していると、その認証結果を元にフォーム認証にも認証を求める動作からくるようです。基本認証のユーザー・パスワードがフォーム認証のユーザー・パスワードと異なることも原因のうちのひとつです。
4.対応方法
よって IIS の基本認証では asp.net のフォーム認証と併用した際に正しく動作しないことがあります。私が考えてた対応方法は2つ。いずれもメリットデメリットありますので、お気をつけください。
(1)IIS の基本認証を外し、IP制限をかける。
→基本認証が動作しなくなるため、正しくフォーム認証が動作します。しかしながら、スマホを使用した 4G ネットワークからのテストができなくなります。
(2)Global.asax で基本認証をコーディングし、フォーム認証と併用する。
→正しく動作するようになりますが、アプリケーション以外の公開したくないディレクトリやサービスがある場合は、その認証はかかりません。
最後までお読みいただきありがとうございます。
いかがでしたでしょうか。他にも asp.net に関連する記事を投稿しておりますのでよろしければご参考くださいませ。
