Существует несколько схем аутентификации, которые могут безопасно работать над простым HTTP. Наиболее распространенными из них являются Digest, который поддерживается всеми основными веб-браузерами и практически любой инфраструктурой веб-программирования.
Обратной стороной использования Digest для веб-сайтов является то, что:
аутентификации обрабатывается самого браузера, а не страницы входа на веб-сайт, который не выглядит почти так же хорошо , и не позволяет вам иметь все окружающие вспомогательные функции, такие как «забыли пароль»? что мы ожидаем в наши дни.
Если у вас нет SSL-соединения, опытные пользователи могут чувствовать себя взволнованно, что они отправляют свой пароль в небезопасном режиме (хотя это и не так), потому что они прошли обучение поиску SSL-соединения при вводе учетных данных.
Есть другие схемы, такие как OAuth, которые также являются безопасными через обычный HTTP, но это на самом деле больше для API, чем веб-сайтов, так что, вероятно, не то, что вы хотите.
Да, но это не хорошая защита. Атака «человек в середине» может легко взломать этот механизм безопасности. –