Hello,
bitte benenne mir die Layer, auf denen sich die beiden Verfahren abspielen und benenne die wesentlichen Status der Kommunikationen.
Wo ist da genau der Unterschied?
Ich habe mich zwar nicht klar genug ausgedrückt, als ich das Beispiel von PHP und Cookies genannt habe, aber für HTTP-basic-Authentication funktioniert das analog. Die Crendentials liegen hier in den HTTP-Headern. Früher durften sie leider auch noch im Request-String übergeben werden.
Wo bei der "Cookie-Autentifizierung" die Daten liegen, ist leider auch nicht immer klar.
Wesentlich in beiden Szenarien ist hier aber, dass der Requestor wissen muss, ob er Auth-Daten an den Subrequest mitsenden soll, oder nicht. Browser, die diese Entscheidungsmöglichkeit nicht berücksichtigen, sind ein Sicherheitsleck.
Unabhängig davon sollte der requestete Server (= Application) weitere Identifizierungs- und Autentifizierungsmethoden bereit halten.
Ein Distributed Auth System erfordert mehr, als fünf Postings in einem Thread.
Glück Auf
Tom vom Berg
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.