¿Cuáles son los pros y los contras de la autentificación HTTP básica

Question

He creado una API REST que usa la autenticación Basic HTTP. Está restringido solo a SSL. Ahora que está implementado, escucho críticas de que HTTP básico sobre SSL no es seguro. Sería perjudicial para el proyecto que "detenga la prensa" y estaría fuera del alcance de algunas de las habilidades de mis clientes para usar OAuth, etc. Necesito entender el riesgo y las recompensas de estos métodos. Cualquier ejemplo de nombres grandes que usen la autenticación HTTP básica sería útil como soporte también.

Answer 1

La autenticación HTTP básica a través de SSL es básicamente segura, con salvedades. Los problemas de seguridad surgen principalmente del uso de la autenticación básica sin SSL, en cuyo caso, el nombre de usuario y la contraseña están expuestos a un MITM. En un navegador, también hay problemas con la expiración de credenciales, pero esto no es un problema tanto para los servicios REST.

Answer 2

quizás estoy confundido pero no veo un problema con SSL solamente BASIC ... esp. no con una API sin estado.
Si las personas que llaman se ven obligadas a usar un proxy SSL-sniffing, BASIC significa que la contraseña está disponible en texto plano para el proxy ... en este caso específico Digest sería mejor (incluso con SSL) porque el proxy no sabría la contraseña (digest significa respuesta de desafío ...).