Web认证方法探视(3)

讨论一下几种web认证方法的优劣。

 

首先看一下Http协议内建的认证方法 。

 

其实这种认证方式是在web处于幼年期的时候经常使用的认证方式。它很简单，被所有的浏览器所支持，但它最重要的问题是不安全。

 

缺点：

 

     1. 简陋的用户界面

 

         登录窗口是浏览器内建的，而不是为站点特制的。非常简陋难看，而且不可替换。用户不可以注册新的账号。

 

     2. 非可选

 

         用户要么通过认证，要么得到一个401。如果得到一个401，用户将得不到任何信息。

 

     3. 不可登出

 

         浏览器会缓存用户名密码，而且没有提供登出方法。

 

     4. 极差的服务器支持

 

         很难替换认证工具，并且很难跟应用程序集成。

 

优点：

 

     1. 浏览器默认的支持

 

         登录窗口，保持登录状态无需再次登录等等。

 

     2. 简单

 

         简单。（但也不安全）

 

再来看看Form-based认证方式

 

优点：

 

     1. 高度可定制

 

         这种认证方式是高度可定制的，包括登录窗口，验证逻辑，安全保护等等。

 

     2. 基于应用

 

         此种认证方式是基于应用而不是内建于http协议或者浏览器的。

 

缺点：

 

     1. 安全：在安全性上，此种方式并没有很大的提升。当然，相比于basic authentication，它的好处在于不用每次都传输用户名密码。

 

最后看看证书认证方式

 

     当然，此种方式相对而言是最好的，这里的最好意思是最安全 。