先生と生徒の会話形式で理解しよう

生徒

「ASP.NET WebFormsで、会員だけが見られるページを作るにはどうすればいいですか？」

先生

「それには『ユーザー認証』という仕組みを使います。IDとパスワードを確認して、本人だと認める機能のことですよ。」

生徒

「難しそうですね…。初心者でもログイン画面って作れるんでしょうか？」

先生

「WebFormsには認証を助けてくれる便利な機能がたくさんあります。まずは基本的な考え方から学んでいきましょう！」

1. ユーザー認証（Authentication）とは？

ASP.NETにおけるユーザー認証とは、システムを利用しようとしている人が「誰であるか」を確認するプロセスのことです。プログラミング未経験の方には、マンションの「オートロック」や「会員制クラブの受付」をイメージしてもらうと分かりやすいでしょう。

誰でも入れる公園のようなサイトではなく、合鍵（パスワード）を持っている人だけが建物の中（会員専用ページ）に入れるように制限をかけるのが認証の役割です。この仕組みを正しく理解することで、個人情報を扱う安全なウェブアプリケーションを作ることができるようになります。

よく似た言葉に「認可（Authorization）」がありますが、これは「入った後に何ができるか（一般会員か管理者か）」を決める別のルールです。まずは第一歩として、本人確認をする「認証」に注目してみましょう。

2. Forms認証（フォーム認証）の仕組みを理解しよう

ASP.NET WebFormsで最も一般的で分かりやすいのがForms認証（フォーム認証）です。これは、専用のログイン画面にIDとパスワードを入力してもらい、それが正しければ「通行証（チケット）」を発行する仕組みです。

この通行証は、ブラウザ（インターネットを見るソフト）の中に「クッキー（Cookie）」という小さなメモとして保存されます。次から別のページに移動するとき、ブラウザが自動的にこの通行証をサーバーに見せてくれるので、何度もログインし直す必要がありません。遊園地で最初に入場チケットを買えば、中で色々なアトラクション（ページ）に乗れるのと同じ仕組みですね。

3. ログイン画面の見た目を作ろう

まずは、ユーザーが情報を入力するための画面（.aspxファイル）を作ります。WebFormsでは、テキストボックスやボタンといった「サーバーコントロール」を使って配置していきます。パソコンを触ったことがない方でも、部品を並べる感覚で作成できます。


<div>
    ユーザーID：<asp:TextBox ID="txtUserID" runat="server"></asp:TextBox><br />
    パスワード：<asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox><br />
    <asp:Button ID="btnLogin" runat="server" Text="ログイン" OnClick="btnLogin_Click" />
    <asp:Label ID="lblError" runat="server" ForeColor="Red"></asp:Label>
</div>

ここで TextMode="Password" と設定しているのがポイントです。これを使うと、入力した文字が「●●●」のように伏せ字になり、周りの人に見られないようになります。こうした配慮も、安全なサイト作りには欠かせない基本的な設定です。

4. ログインボタンが押された時の処理

次に、ボタンが押された時に動くプログラム（C#）を書きます。ここで入力された内容が「あらかじめ決めておいた正しい情報」と同じかどうかをチェックします。この判定を行う場所が、まさに「受付」の役割を果たします。


protected void btnLogin_Click(object sender, EventArgs e)
{
    // 入力された値を取得
    string id = txtUserID.Text;
    string pass = txtPassword.Text;

    // 本来はデータベース等で確認しますが、今回は簡単な例で判定します
    if (id == "admin" && pass == "password123")
    {
        // 認証成功！通行証を発行してトップページへ移動させる
        System.Web.Security.FormsAuthentication.RedirectFromLoginPage(id, false);
    }
    else
    {
        // 失敗した場合はメッセージを出す
        lblError.Text = "IDまたはパスワードが間違っています。";
    }
}

この RedirectFromLoginPage という命令が非常に強力です。これ一列で、通行証（クッキー）の発行と、元々見たかったページへの移動を自動的に行ってくれます。複雑な処理をASP.NETが肩代わりしてくれているのです。

5. Web.configでサイト全体のルールを決める

画面とプログラムができたら、最後に「どのページに制限をかけるか」というルールを、Web.config（ウェブ・コンフィグ）という設定ファイルに書き込みます。これはマンションの管理規定のようなものです。

設定ファイルに「このサイトはForms認証を使います」「ログインしていない人は、自動的にログイン画面へ送ってください」と指示を出します。これにより、URLを直接打ち込んで会員ページを覗こうとしても、システムが自動的にブロックしてくれるようになります。


<configuration>
  <system.web>
    <authentication mode="Forms">
      <forms loginUrl="Login.aspx" defaultUrl="Default.aspx" />
    </authentication>
    <authorization>
      <deny users="?" />
    </authorization>
  </system.web>
</configuration>

6. ログアウト機能も忘れずに実装

ログインができるようになったら、次は「ログアウト」も作らなければなりません。ログアウトとは、発行した通行証を破棄して、誰でもない状態に戻ることです。共用パソコンなどで、自分のアカウントを使いっぱなしにされないために非常に重要な機能です。

ログアウトの処理も、ASP.NETなら専用の命令を一行呼び出すだけで完了します。通行証を無効化し、ログイン画面に戻してあげるのが一般的な親切な設計です。以下のコードをログアウトボタンの処理に記述します。


protected void btnLogout_Click(object sender, EventArgs e)
{
    // 通行証（認証チケット）を破棄する
    System.Web.Security.FormsAuthentication.SignOut();
    
    // ログイン画面へ戻る
    Response.Redirect("Login.aspx");
}

7. 認証状態によって表示を変える工夫

ユーザーがログインしている時だけ「ようこそ、〇〇さん！」と表示したり、逆にログインしていない時だけ「ログインはこちら」というリンクを出したりしたいことがあります。これを実現するのが LoginView（ログインビュー） というコントロールです。

これを使うと、プログラムを細かく書かなくても「ログイン中の見た目」と「そうでない時の見た目」を枠の中で分けることができます。初心者の方でも、デザイン画面で切り替えるだけで簡単に会員制サイトらしい演出ができるようになります。ユーザーが今どんな状態なのかを常に意識することが、使いやすいサイトへの近道です。

8. 安全な認証機能のための注意点

ユーザー認証を扱う上で、最も大切なのは「安全管理」です。パスワードをそのままプログラムの中に書いたり、メモ帳に保存したりするのは非常に危険です。本来は「データベース」という場所に、暗号化（ハッシュ化）して保存するのが正しいやり方です。

また、最近では「二要素認証」といって、パスワードだけでなくスマホに届く番号も入力させるような、より強固な仕組みも増えています。WebFormsの基礎を学んだ後は、こうしたセキュリティの深い話にも興味を持ってみてください。まずは、今回の「入力・判定・チケット発行」という基本の流れをしっかりマスターしましょう！