• BASIC认证,Header中有Authorization: Basic 用户密码的base64转码后的String,容易被中间人攻击,获取用户密码。不安全,不够便捷灵活,不常用。
  • DIGEST认证: 发送认证请求,返回401,WWW-Authenticate: Digest realm="DIGEST", nonce="" algorithm=MD5, qop(女王)="auth"。然后客户端再给服务器发送响应码。DIGEST认证可以防止密码被窃听,但是不存在保护防止用户伪装的机制。
  • SSL认证,用证书来验证客户端
  • 表单认证,基于Session,Cookie等