Istnieje wiele schematów uwierzytelniania, które mogą działać bezpiecznie na zwykłym HTTP. Najczęściej spotykany z nich to Digest, obsługiwany przez wszystkie główne przeglądarki internetowe i praktycznie każdą platformę programowania sieciowego.
dół ubocznym stosowania Digest dla stron internetowych jest to, że:
Uwierzytelnianie jest obsługiwane przez przeglądarkę, a nie samą stronę logowania na stronie internetowej, która nie wygląda prawie tak ładny i nie pozwala, aby wszystkie otaczające funkcje pomocnicze były takie jak "zapomniałeś hasła?" których obecnie oczekujemy.
Jeśli nie masz połączenia SSL, doświadczeni użytkownicy mogą czuć się zaniepokojeni, że wysyłają swoje hasło w sposób niezawodny (nawet jeśli nie są), ponieważ zostali przeszkoleni w zakresie wyszukiwania połączenia SSL przy wprowadzaniu poświadczeń.
Istnieją inne systemy takie jak OAuth które również są bezpieczne nad zwykłym HTTP, ale to jest naprawdę więcej niż API dla stron internetowych, więc prawdopodobnie nie jest to, co chcesz.
Tak, ale to nie jest dobra ochrona. Atak typu "man-in-the-middle" może łatwo złamać ten mechanizm bezpieczeństwa. –