为什么几乎所有网站都使用cookie而不是基本身份验证? 它不仅仅是用户/传递窗口很难看,而且它们都不是更安全。它们都是不安全的(没有https)。
答案 0 :(得分:13)
要注销基本身份验证登录,浏览器通常需要完全退出。这意味着服务器无法注销用户。
我认为基本身份验证还有更多的开销(假设你的cookie大小不大),但我可能错了。
HTTP基本身份验证还会为每个请求发送用户名和密码,因此可能会降低安全性,因为有更多机会进行拦截。
答案 1 :(得分:5)
您可以更好地控制Cookie。您可以加密它们,即使没有HTTPS也可以保证安全。基本身份验证始终通过HTTP不安全。 Cookie也不包含每个请求的密码。并且,是的,我能说什么,用户喜欢AJAX登录表单和漂亮的动画效果在登录时遗憾的是无法使用基本身份验证来实现。
答案 2 :(得分:0)
使用cookies,您可以完全控制何时对用户进行身份验证,而不是在请求时尽快。
另外,您也不必为图片进行身份验证
另一件事是你不必依赖系统管理员来进行身份验证。
您还可以选择有会话的用户存储库。
还有其他的事情。如你所说,两者都或多或少都是安全的,为什么不选择灵活性呢?为了向客户展示网站,我们经常使用服务器身份验证,因为它很容易和全局解决方案..对于应用程序中的表单,我们使用cookie。