Вход в сеанс против HTTP-аутентификации. Преимущества недостатки

Question

Я заметил, что несколько крупных сайтов используют HTTP-аутентификацию.

Мне интересно, в чем главное различие между этим и основанным на сеансе входом в систему.

Любые преимущества или недостатки.

Любые объяснения и предложения будут полезны, поскольку я пытаюсь решить, какой логин использовать для моего сайта.

спасибо

Answer 1

Самым большим недостатком HTTP-аутентификации, с точки зрения пользователя, является, вероятно, тот факт, что вы получаете уродливое диалоговое окно, а не красивую форму, встроенную в ваш сайт.

Вы также не можете включить какую-либо ссылку на форму регистрации или какую-либо справку, а также некоторую информацию «Я забыл свой пароль».

Для некоторого бэк-офиса, возможно, аутентификация http в порядке; но у меня есть некоторые сомнения по поводу его использования для какой-либо общественной фронт-офиса.

Еще одним неудобством является то, что нет функции автоматического выхода из системы с HTTP-аутентификацией: для сеансов сессия истекает через некоторое время или cookie автоматически удаляется, когда пользователь закрывает свой браузер ... Но не с HTTP Аутентификация ; поэтому на данном этапе HTTP-аутентификация кажется менее безопасной.

Answer 2

http-аутентификация отправляется с каждым запросом. Это означает, что запрос остается автономным от любых предыдущих запросов (также известных как , не имеющих состояния ). Поскольку http был разработан как протокол без сохранения состояния, использование этого стиля имеет ряд технических преимуществ. Еще один большой плюс использования http-аутентификации в том, что она стандартизирована. Любой http-клиент знает, как обращаться с http-аутентификацией, поэтому вы значительно упрощаете взаимодействие.

По моему опыту, основная причина, по которой люди используют сессионные логины:

• Эстетика. Вы не можете стилизовать поле http-аутентификации.
• Удобство и простота. Вы не можете поместить в текст описательный текст или ссылку на «забытый пароль» или «создать новую учетную запись».

Кроме того, многим людям наплевать или они предпочитают саботировать альтернативных клиентов (таких как скребки экрана и другие автоматизированные клиенты).