看来,基于Cookie的身份验证是明确的选择今天需要登录凭据的Web服务。HTTP认证与饼干
可是你知道,如果你正在开发一个Web服务,其中客户端是不是浏览器,而是通过HTTP你可以使用HTTP认证或cookie认证访问资源,客户端软件(如移动应用)?
HTTP验证:
- Web服务器处理身份验证,因此,如果需要
- 自动应用到非代码资源(例如JPG,XML等)(端Q容易更改的Web应用程序平台:是有没有办法与基于cookie的身份验证来做到这一点)
- 更难整合与服务器授权(的.htaccess/.htpasswd则)
cookie认证数据库存储的凭据:?
(代码资源可以有不同的反应基于证书)- 细粒度访问控制
- 在用户登录体验完全控制
其他什么我要离开的考虑?任何其他优点/缺点?
如果有兴趣在这两种类型的身份验证之间进行安全性阅读此:http://stackoverflow.com/questions/5052607/cookies-vs-basic-auth/5052622#5052622 – 2011-04-29 15:47:53