HTMLフォーム認証

HTML
各種項目 HTML ダイナミックHTML HTML5 audio要素 canvas要素 video要素 XHTML Mobile Profile C-HTML HTML要素 HTMLフレーム（英語版） HTML エディター 文字符号化（英語版） Unicode（英語版） Document Object Model スタイルシート（CSS） フォントファミリー（英語版） ウェブカラー HTMLスクリプティング（英語版） JavaScript WebGL WebCL W3C（バリデータ） WHATWG 後方互換モード（英語版） ウェブストレージ レンダリングエンジン
比較 マークアップ言語（英語版） HTML（英語版） XHTML（英語版）
表 話 編 歴

HTMLフォーム認証は、ウェブサイトがフォームを使って、ユーザーエージェント（典型的にはウェブブラウザ）から認証情報（クレデンシャル（英語版））を収集し、認証を行う技法である。単にフォーム認証とも呼ばれる。

典型的には、以下の手順となる。

1. 認証していない状態のユーザーエージェントがウェブサイトからウェブページを要求する。
2. ウェブサイトは返答としてHTMLで書かれたウェブページをユーザーエージェントに渡す。このウェブページには、アカウント（ユーザー名あるいはEメールアドレスなど）・パスワードの入力を求めるフォームがあり、さらにログインや送信などと書かれたボタンが用意されている。
3. 利用者はユーザー名とパスワードを入力し、ボタンを押す。
4. ユーザーエージェントはフォームの入力内容をウェブサーバーに送信する。
5. ウェブサーバー内で実行されているプログラムは検証と承認（英語版）を行う。成功したら、指定のアカウントとしてのセッションが開始される。
   • 以後、セッションを維持する方法としては、セッションID（英語版）をHTTPクッキーに保存する方法がよく用いられる。

認証の方法として、パスワード以外にさらに追加の手順を課す多要素認証としたり、WebAuthnなどパスワードを用いない方法が採用されることもある。

実際には、これに加えてクロスサイトリクエストフォージェリ (CSRF)への対策が必須である。クロスサイトリクエストフォージェリ#対策などを参照のこと。

<form method="POST" action="/login">
  <label>ユーザー名: <input type="text" name="username" autocomplete="username" required></label>
  <label>パスワード: <input type="password" name="password" autocomplete="current-password" required></label>
  <button type="submit">ログイン</button>
</form>

フォーム認証は、一般的にウェブアプリケーションフレームワークによって提供される機能であるが、ウェブサーバーが機能を提供する例もある。

• Apache HTTP Server: mod_auth_form

• 認証
• HTTP認証
  • Basic認証
  • Digest認証
• ログイン
• ソーシャル・ログイン

• security - The definitive guide to form-based website authentication - Stack Overflow