Плюсы и минусы HTTP Digest Authentication достаточно ясно объяснены в статье в Википедии на тему - вы должны это прочитать!
Проще говоря: HTTP Digest Auth защитит вас только от потери пароля в виде открытого текста злоумышленнику (и учитывая состояние безопасности MD5, может быть, даже не это).
Однако он широко открыт для атак «человек посередине», а также - в зависимости от реализации, поскольку большинство расширенных функций являются необязательными - воспроизведение, словарь и другие формы атак.
Однако самое большое различие между HTTPS-соединением и HTTP-соединением, защищенным Digest Auth, заключается в том, что с первым все шифруется с помощью шифрования с открытым ключом, а с последним содержимым отправляется в открытом виде.
Что касается производительности: из вышеупомянутых моментов должно быть совершенно ясно, что вы получаете то, за что платите (с циклами ЦП).
Для "гибкости" я пойду с: да?