Я заметил, что несколько крупных сайтов используют HTTP-аутентификацию.
Мне интересно, какое основное различие между этим и сеансовыми логинами.
Любые преимущества или недостатки.
Любые объяснения и предложения будут полезны, поскольку я пытаюсь решить, какой логин использовать для моего сайта.
благодаря
Самым большим недостатком HTTP-аутентификации, с точки зрения пользователя, является, вероятно, тот факт, что вы получаете уродливое диалоговое окно, а не приятную форму, встроенную в ваш сайт.
Вы также не можете включать ссылку на форму «Регистрация» или какую-либо помощь, а также информацию «Я забыл свой пароль».
Для какого-то бэк-офиса, возможно, аутентификация HTTP в порядке; но у меня есть некоторые сомнения относительно его использования для какого-то публичного фронт-офиса.
Другой неудобной является то, что нет функциональной функции автоматического выхода из системы, с проверкой подлинности HTTP: с сеансами, сеанс истекает через некоторое время или файл cookie автоматически удаляется, когда пользователь закрывает свой браузер … Но не с HTTP-аутентификацией; поэтому, на данный момент, HTTP-аутентификация кажется менее безопасной.
HTTP-аутентификация отправляется с каждым отдельным запросом. Это означает, что запрос остается автономным от любых предыдущих запросов (также известных как без гражданства ). Поскольку http был разработан как протокол без гражданства, существует ряд технических преимуществ для поддержания этого стиля. Еще один большой плюс использования http-аутентификации – это стандартизация. Любой http-клиент знает, как бороться с http-аутентификацией, поэтому вы упрощаете взаимодействие.
Основная причина, по которой люди используют сеансовые логины, по моему опыту:
Кроме того, многие люди не заботятся или предпочитают саботировать альтернативных клиентов (таких как скребки экрана и другие автоматизированные клиенты).