Cookie против Basic Auth

Question

Почему почти все веб-сайты используют куки-файлы вместо базовой аутентификации?Не может быть только того, что окно user / pass уродливо и ни одно из них не является более безопасным.Они оба небезопасны (без https).

Answer 1

Для выхода из базовой авторизационной авторизации браузер часто необходимо полностью завершить. Это означает, что сервер не может выйти из системы.

Я полагаю, что у базовой аутентификации также больше накладных расходов (при условии, что размер файлов cookie не слишком велик), но я могу ошибаться.

Базовая аутентификация HTTP также отправляет имя пользователя и пароль при каждом запросе, что делает его потенциально менее безопасным, поскольку существует больше возможностей для перехвата.

Answer 2

У вас есть больше контроля над куки. Вы можете зашифровать их, чтобы они были безопасными даже без HTTPS. Базовая аутентификация всегда небезопасна по HTTP. Также куки не содержат пароль на каждый запрос. И да, что я могу сказать, пользователям нравятся формы входа в AJAX и приятные анимированные эффекты при входе в систему, чего, к сожалению, невозможно достичь с помощью базовой аутентификации.

Answer 3

С помощью файлов cookie у вас есть полный контроль над тем, когда аутентифицировать пользователя, но не сразу после запроса.

Плюс вам не нужно проходить аутентификацию и для фотографий

Другоев том, что вам не нужно полагаться на системного администратора для аутентификации.

У вас также есть выбор относительно хранилища пользователей с сеансом.

Есть и другие вещи.Как вы сказали, оба более или менее безопасны, так почему бы не выбрать гибкость?Для демонстрации сайтов клиентам мы часто используем проверку подлинности сервера, поскольку это простое и глобальное решение ... для форм в приложениях мы используем файлы cookie.