|
讨论一下几种web认证方法的优劣。
首先看一下Http协议内建的认证方法
。
其实这种认证方式是在web处于幼年期的时候经常使用的认证方式。它很简单,被所有的浏览器所支持,但它最重要的问题是不安全。
缺点:
1. 简陋的用户界面
登录窗口是浏览器内建的,而不是为站点特制的。非常简陋难看,而且不可替换。用户不可以注册新的账号。
2. 非可选
用户要么通过认证,要么得到一个401。如果得到一个401,用户将得不到任何信息。
3. 不可登出
浏览器会缓存用户名密码,而且没有提供登出方法。
4. 极差的服务器支持
很难替换认证工具,并且很难跟应用程序集成。
优点:
1. 浏览器默认的支持
登录窗口,保持登录状态无需再次登录等等。
2. 简单
简单。(但也不安全)
再来看看Form-based认证方式
优点:
1. 高度可定制
这种认证方式是高度可定制的,包括登录窗口,验证逻辑,安全保护等等。
2. 基于应用
此种认证方式是基于应用而不是内建于http协议或者浏览器的。
缺点:
1. 安全:在安全性上,此种方式并没有很大的提升。当然,相比于basic authentication,它的好处在于不用每次都传输用户名密码。
最后看看证书认证方式
当然,此种方式相对而言是最好的,这里的最好意思是最安全
。
| 
转播
