Re: [OFF] Почему все придумывают свою систему web-аутентификации
On 2010.02.05 at 21:32:36 +0300, Ed wrote:
> для внутреннего web-сайта нужно аутентифицировать пользователей.
> думаю использовать http authentication, если будут требования по
> безопасности (например выставить в интернет) - та же стандартная
> аутентификация поверх https или https + сертификаты.
>
> сходу никаких минусов не вижу, но почему-то накто так не делает.
> практически все сайты (в том числе и те, которые https-only) делают
> аутентификацию по web-формочке, куда вносятся имя пользователя и пароль,
> потом отслеживают куки и т.п...
>
> почему?
Минус первый - в basic authentication забыли предусмотреть понятие
logout. Иногда жутко мешает. Обойти можно опять таки с использованием
кук, причем придется выставлять куку при 401 ответе.
Минус второй - в basic authentication забыли предусмотреть протухание
аутентификации через какой-нибудь осмысленный (лучше настраиваемый)
таймаут.
Минус третий, который очень многие web-разработчики считают очень важным
- не предоставляется средств для дизайна формы аутентификации.
Про четвертый минус - необходимость работы по https со всеми
страницами, требующими аутентификации (А не только с формой ввода
пароля) потому что пароль бегает при КАЖДОМ запросе,
уже написали.
Reply to: