On 2010.02.05 at 21:32:36 +0300, Ed wrote: > для внутреннего web-сайта нужно аутентифицировать пользователей. > думаю использовать http authentication, если будут требования по > безопасности (например выставить в интернет) - та же стандартная > аутентификация поверх https или https + сертификаты. > > сходу никаких минусов не вижу, но почему-то накто так не делает. > практически все сайты (в том числе и те, которые https-only) делают > аутентификацию по web-формочке, куда вносятся имя пользователя и пароль, > потом отслеживают куки и т.п... > > почему?
Минус первый - в basic authentication забыли предусмотреть понятие logout. Иногда жутко мешает. Обойти можно опять таки с использованием кук, причем придется выставлять куку при 401 ответе. Минус второй - в basic authentication забыли предусмотреть протухание аутентификации через какой-нибудь осмысленный (лучше настраиваемый) таймаут. Минус третий, который очень многие web-разработчики считают очень важным - не предоставляется средств для дизайна формы аутентификации. Про четвертый минус - необходимость работы по https со всеми страницами, требующими аутентификации (А не только с формой ввода пароля) потому что пароль бегает при КАЖДОМ запросе, уже написали. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
