1.2. Basic 認証の使用時の制限
次の表は、Quarkus アプリケーションを保護するために HTTP Basic 認証を使用する場合のいくつかの制限を示しています。
| 制限 | 説明 |
|---|---|
| 認証情報がプレーンテキストとして送信される | 認証情報が公開されないようにするには、HTTPS Basic 認証を使用します。リクエストが HTTP 経由で Quarkus に転送されるため、ロードバランサーが HTTPS を終了すると、認証情報がプレーンテキストとして公開されるリスクが高まります。さらに、マルチホップデプロイメントでは、クライアントと最初の Quarkus エンドポイントの間でのみ HTTPS が使用され、認証情報が HTTP 経由で次の Quarkus エンドポイントに伝播されると、認証情報が公開される可能性があります。 |
| 認証情報がリクエストごとに送信される | Basic 認証では、各リクエストでユーザー名とパスワードを送信する必要があるため、認証情報が公開されるリスクが高まります。 |
| アプリケーションの複雑さが増す | Quarkus アプリケーションは、ユーザー名、パスワード、およびロールが安全に管理されていることを検証する必要があります。ただし、このプロセスにより、アプリケーションが著しく複雑になる可能性があります。ユースケースによっては、ユーザー名、パスワード、およびロール管理を特殊なサービスに委譲する他の認証メカニズムの方が安全である可能性があります。 |
