Cookies против Basic Auth

Ответ 1

Чтобы выйти из основного входа в систему, браузер часто должен быть полностью закрыт. Это означает, что сервер не может выйти из системы.

Я считаю, что базовый auth также имеет больше накладных расходов (при условии, что ваш размер файла cookie не массивный), но я могу ошибаться в этом.

HTTP basic auth также отправляет имя пользователя и пароль с каждым запросом, делая его потенциально менее безопасным, поскольку есть больше возможностей для перехвата.

Ответ 2

У вас больше контроля над файлами cookie. Вы можете зашифровать их, чтобы они были защищены даже без HTTPS. Базовый auth всегда небезопасен по HTTP. Также файлы cookie не содержат пароль для каждого запроса. И, да, что я могу сказать, такие пользователи, как формы входа AJAX и приятные анимированные эффекты, когда вход в систему, к сожалению, не может быть достигнут с помощью базового auth.

Ответ 3

Из википедии

Без файлов cookie каждое извлечение веб-страницы или компонента веб-страницы является изолированным событием, в основном не связанным со всеми другими видами страниц одного и того же сайта.

Ответ 4

С помощью файлов cookie у вас есть полный контроль над тем, когда нужно аутентифицировать пользователя, а не сразу после запроса.

Кроме того, вы также не должны аутентифицироваться для изображений

Другое дело, что вам не нужно полагаться на sysadmin для auth.

У вас также есть выбор в отношении репозитория пользователей с сеансом.

Есть и другие вещи. Как вы сказали, обе более или менее безопасны, так почему бы не выбрать гибкость? Чтобы продемонстрировать сайты клиентам, мы часто используем сервер auth, поскольку это легко и глобальное решение.. для форм внутри приложений мы используем файлы cookie.