Кажется, что проверка подлинности на основе файлов cookie является явным выбором сегодня для веб-служб, для которых требуются учетные данные для входа.HTTP-аутентификация против файлов cookie
Но как насчет того, если вы разрабатываете веб-службу, где клиенты не являются браузерами, а клиентское программное обеспечение (например, мобильное приложение), которое обращается к ресурсам через HTTP, используете ли вы проверку подлинности HTTP или аутентификацию cookie?
HTTP Auth:
- Web-сервер выполняет проверку подлинности, поэтому при необходимости
- Автоматически применяются к не кодовым ресурсам (например, JPG, XML, и т.д.) (Side Q легче изменить веб-приложения платформу: Есть есть ли способ сделать это с помощью печенья на основе AUTH)
- Harder интегрировать базы данных, сохраненные учетные данные с сервера (AUTH .htaccess/.htpasswd)
Cookie Auth:
- Fine управления зернистой доступа (код ресурса может реагировать по-разному на основе учетных данных)
- Контроль за истечением сессии (через куки выдохов)
- Полный контроль над опытом входа пользователя
Какие другие соображения я оставляю? Любые другие плюсы и минусы?
Some helpful discussion is here
Если вы заинтересованы в безопасности между этими двумя типами аутентификации, прочитайте следующее: http://stackoverflow.com/questions/5052607/cookies-vs-basic-auth/5052622#5052622 –