Безпека і авторизація в протоколі http
Стандартний механізм заголовків HTTP також представляє ядро стандартного механізму безпеки HTTP.
Безпечна транзакція документа відбувається наступним чином:
Основні з них це:
- Базова аутентифікація (Basic)
- Дайджест-аутентифікація (Digest)
- Аутентифікація по пред'явленню цифрового сертифікату
- Аутентифікація по Cookies
- Децентралізована аутентифікація (OpenID, OpenAuth, OAuth)
Зазвичай використовується тільки одна з них - базова (Basic) аутентифікація.
Незважаючи на те що базова аутентифікація HTTP «закодована». вона насправді не є безпечною. оскільки інформація передається у відкритому вигляді (кодування маскує, але реально не приховує ім'я і пароль користувача). Хоча аутентифікація Digest технічно більш захищена, більшість Web-браузерів не підтримують її. а тому її не підтримують і більшість Web-сайтів.
Крім традиційного захисту на базі HTTP, яка реалізована на рівні Web-сервера, безпеку рівня додатків реалізується розробниками додатків. Цей підхід зазвичай використовує cookie-набори для збереження ідентифікації користувача. Ключовий вигодою відмови від застосування HTTP-захисту є те, що це дає можливість розробнику повністю контролювати вигляд і поведінку форми реєстрації користувача.
Одним з головних мінусів децентралізованої аутентифікації (OpenID, OpenAuth, OAuth) є те, що злом дає доступ відразу до багатьох сервісів.