Re: [OFF] Почему все придумывают свою систему web-аутентификации

[Victor Wagner <vitus@wagner.pp.ru>]

On 2010.02.05 at 21:32:36 +0300, Ed wrote:

> для внутреннего web-сайта нужно аутентифицировать пользователей.
> думаю использовать http authentication, если будут требования по  
> безопасности (например выставить в интернет) - та же стандартная  
> аутентификация поверх https или https + сертификаты.
>
> сходу никаких минусов не вижу, но почему-то накто так не делает.  
> практически все сайты (в том числе и те, которые https-only) делают  
> аутентификацию по web-формочке, куда вносятся имя пользователя и пароль,  
> потом отслеживают куки и т.п...
>
> почему?

Минус первый - в basic authentication забыли предусмотреть понятие
logout. Иногда жутко мешает. Обойти можно опять таки с использованием
кук, причем придется выставлять куку при 401 ответе.

Минус второй - в  basic authentication забыли предусмотреть протухание
аутентификации через какой-нибудь осмысленный (лучше настраиваемый)
таймаут.

Минус третий, который очень многие web-разработчики считают очень важным
- не предоставляется средств для дизайна формы аутентификации.

Про четвертый минус - необходимость работы по https со всеми
страницами, требующими аутентификации (А не только с формой ввода
пароля) потому что пароль бегает при КАЖДОМ запросе,
уже написали.