PHP Lang
  1. PHP Lang
  3. преимущества «HTTP-аутентификации с помощью PHP»
Intereting Posts
Выброс пользовательского исключения 503 в CakePHP 2 Шаблоны проектирования. Как создать объект базы данных / соединение только при необходимости? Пароль WordPress MD5 cURL получает ответ с помощью спецификации utf-8 Обработка населения «Back to Home» с помощью PHP в WordPress Как отправить эту форму с помощью AJAX без jQuery, но чистый Javascript Упростить фракцию Проблема с информацией о членстве API MailChimp Как написать хранимую процедуру с использованием phpmyadmin и как ее использовать через php? Выберите определенные поля MySQL и покажите их с помощью php Лучший способ избежать инъекции кода в PHP Недействительный сеанс для определенного пользователя в Symfony2 Использование API YouTube v3 для просмотра всех личных видеороликов как я могу загрузить видео и сохранить его в папку в codeigniter? Как узнать, является ли строка сериализованным объектом / массивом или просто строкой?

преимущества «HTTP-аутентификации с помощью PHP»

в чем преимущества использования HTTP-аутентификации с PHP (заголовки HTTP 401)
вместо обычной проверки подлинности?

С точки зрения безопасности, как на основе форм , так и на основе HTTP Basic Access Authentication используется простой текст для отправки данных аутентификации. (Конечно, HTTP Basic Auth дополнительно использует Base64, но это не заминка.)

Хотя HTTP Basic Auth отправляет данные аутентификации по каждому запросу, аутентификация на основе формы отправляет только данные аутентификации при отправке формы (помните: как в обычном тексте). Обычно сеансы используются для поддержания состояния при использовании проверки подлинности на основе форм.

Поэтому, если вы хотите использовать один из них, обязательно зашифруйте свое соединение с помощью HTTPS, чтобы предотвратить атаки нюханием и атаки «человек-в-середине» . И когда вы выбираете вариант формы и сеанса, обязательно закрепите свою обработку сеанса, чтобы предотвратить или, по крайней мере, обнаружить мошенничество с сеансом, такое как захват сеанса и фиксация сеанса .

Последним вариантом является аутентификация HTTP Digest Access . Основное различие между этим и Basic заключается в том, что Digest является аутентификацией с запросом -ответом, тогда как клиент должен выполнить задачу по каждому запросу, а ответ – это просто хеш MD5. Таким образом, данные аутентификации в текстовом формате не отправляются.

Ваш вопрос немного расплывчатый, но общий ответ заключается в том, что использование этого метода дает вам более «RESTful» реализацию, которая следует за тем, что HTTP уже хорошо. В этом случае бросание 401 – это то, что другие веб-серверы, веб-прокси и веб-браузеры знают, как обращаться. Если вы просто выплескиваете HTML-форму, это может действовать только конечным пользователем, тогда как использование кодов состояния HTTP позволяет взаимодействовать с машиной.

Я бы рекомендовал проверить http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol чтобы понять, что такое HTTP. Я думаю, это должно сделать все это более разумным.

В качестве примера того, что говорила революция, я чаще всего использую HTTP-авторизацию на RSS-каналах для сайтов, использующих auth на основе форм, просто потому, что многие читатели RSS могут выполнять HTTP-аутентификацию, но не могут выполнять авторизацию на основе форм.

Вы делаете сайты? если да, то используйте тег <form> .. это красивее;)

Вы делаете приложения доступными для других приложений и отправляете некоторые данные? Затем используйте HTTP auth.

Насколько я знаю, нет большой разницы в вопросах безопасности, скорости или чего-то еще … это просто уродливо и проще реализовать.