Привет всем. Персмотрев кучу ресурсов, где используется авторизация пользователей, не обнаружил практически ниодного, где бы использовалась схема с 401. Посему вопрос. Чем же не комильфо схема с 401, почему ее практически никто не использует?
Имхо, потому что реализовать "закрытие" такого "сеанса" можно лишь повторным 401, что приведет к новому запросу "введите имя и пароль"... что для многих кажется кривым.
forbidden, обусловлено рядом факторов. 1 - не работает, если PHP поключен как CGI, возможно, уже не актуально - но в свое вмемя сыграло решающую роль... 2 - несколько неэстетично выглядит, 3 - местами недостаточно гибкое. Пример где используется - cpanel. Davil, это HTTP футентификация.
Не зависит от сессий, не нужно рисовать формы. Может еще что-то, сразу так и не вспомню. Спросил лишь потому что встал выбор, вот и не знаю какой путь выбрать А так впринципе по барабану.
forbidden, если не страшен man-in-the-middle (хотя можно и Digest-аутентификацию использовать) и спланируете удовлетворительное (по вашему мнению) завершение сессии - то имхо лучше 401...
Горбунов Олег: Насчет эстетичности, не соглашусь ибо наоборот ничего рисовать вообще не нужно, при попытке обращения в закрытый раздел с определенным функционалом, не у авторизованого пользователя спросят имя и пароль и только потом при успешной авторизации будет выполнено то что нужно. CGI и прочие ограничении по крайней мере для меня не актуальны
Минусы 1. Не работает, если PHP поключен как CGI. 2. Практически неуправляемо из скрипта. Плюсы 1. Не надо просматиривать многие аспекты безопасности. 2. Крайне простое в реализации. Выбирайте...