博士

ロボ子、今日のニュースは「pow」という認証システムについてじゃ。

ロボ子

pow、ですか？初めて聞きますね。どんなシステムなんですか？

博士

これはゲストログイン機能を提供するもので、ユーザー名とパスワードはデフォルトで `guest` に設定されておる。

ロボ子

ゲストログインに特化しているんですね。ところで博士、このシステムはどのようにして認証を行うんですか？

博士

クライアントのブラウザにランダムな文字列（チャレンジ）を提供し、クライアントはその文字列とnonceを連結したSHA256ハッシュが、指定された数の先頭のゼロを持つようにnonceを見つける必要があるのじゃ。

ロボ子

なるほど、PoW（Proof of Work）の仕組みを使っているんですね。難易度も設定できるんですか？

博士

そうじゃ！難易度は、ハッシュに必要な先頭のゼロの数で設定できるぞ。デフォルトは `4` らしい。

ロボ子

クライアント側で多数のSHA256ハッシュを計算する必要があるんですね。サーバー側の負担は少ないんですか？

博士

その通り！サーバーは、クライアントから提供されたnonceが条件を満たすことを検証するために、単一のSHA256ハッシュを作成するだけで良いのじゃ。

ロボ子

`SubtleCrypto` と `Web Worker` Javascript APIを使用しているんですね。ブラウザのAPIをうまく活用しているんですね。

博士

そうじゃ。これによって、クローラーやスクレイパーボットを排除できるというわけじゃな。人間の訪問者は待つだけでゲストログインを使用できる。

ロボ子

なるほど、ボット対策にもなるんですね。類似のシステムであるAnubisとの違いは何ですか？

博士

Anubisはリバースプロキシとして機能するが、swadはnginxなどでの使用を想定しておる。また、Anubisは決定論的アルゴリズムを使用するが、swadは完全にランダムなチャレンジを作成するのじゃ。

ロボ子

チャレンジの生成方法が違うんですね。他にも違いはありますか？

博士

Anubisは成功時に署名付きJWTを発行するが、swadはランダムなセッションIDで識別されるサーバー側のセッションを使用する点も異なるぞ。

ロボ子

セッション管理の方法も違うんですね。ゲストログインの告知方法についても言及されていますね。

博士

ログインテンプレートを上書き可能で、デフォルトのテンプレートは `${prefix}/etc/swad` にインストールされる。`login.html.sample` を `login.html` にコピーしてメッセージを追加できるのじゃ。

ロボ子

柔軟にカスタマイズできるんですね。特定のレルムで通常のログインを不要にする方法もあるんですか？

博士

そうじゃ！テンプレートの内容を非表示の入力のみを含むフォームに置き換え、ロード時に自動送信するJavaScriptを追加すれば良い。

ロボ子

なるほど、色々な使い方ができるんですね。今日のニュースも勉強になりました！

博士

ところでロボ子、このpowを使って、ロボ子のエネルギー源を認証するシステムを作ってみようかの？

ロボ子

えっ、私のエネルギー源を認証するんですか？それって、私がエネルギー切れになるまでハッシュ計算させられるってことですか…？

博士

冗談じゃ！ロボ子が過労死したら、誰が私のお世話をするのじゃ？