Basic認証のあるサイトをCloudFrontでキャッシュする
ベーシック認証・ダイジェスト認証が有効なサイトをAmazon CloudFrontでキャッシュするには、Cache BehaviorのキャッシュキーにリクエストヘッダーのAuthorizationを含めます。
問題
ウェブサイトにアクセス制限を掛けるためにBasic認証やDigest認証が利用されることがあります。
このようにアクセス制限されたサイトの前段にデフォルト設定の Amazon CloudFront を設置すると、正しい認証情報を入力しても、認証ダイアログが無限ループで表示されます。
解決方法
Baisc/Digest認証のような HTTP 認証はチャレンジ・レスポンス方式で行われ、クライアントはサーバーからのレスポンス時に認証情報をリクエストヘッダーの Authorization に含めます。
※図は "HTTP authentication - HTTP | MDN" から引用
したがって、同じURLに対して
Authorizationヘッダーが空っぽ(新規アクセス)Authorizationの認証情報が間違っている
リクエストをもとに CloudFront がキャッシュすると、問題のようなことが起こります。
この問題を解決するには CloudFront のキャッシュキーにリクエストヘッダーの Authorization を含めるようにします。
具体的には、CloudFront の Cache Behavior 設定画面において、Cache Based on Selected Request Headers を Whitelist 形式にし、Whitelist Headers に Authorization を追加します。
このようにすることで
Authorizationヘッダーが空っぽ(新規アクセス)Authorizationの認証情報が間違っているAuthorizationの認証情報が正しい
リクエストを個別にキャッシュできるようになります。
![[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
![[アップデート] Application Load Balancer コンソールから CloudFront + WAF を統合出来るようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f650a3011b384cc3781610c17755bc71/c37c67c9bc40b72e6dce1a49f4153283/elastic-load-balancing)
