Il existe un certain nombre de schémas d'authentification qui peuvent fonctionner de manière sécurisée sur HTTP simple. Le plus commun d'entre eux est Digest, qui est pris en charge par tous les principaux navigateurs Web et pratiquement tous les cadres de programmation Web.
Le bas-côté de l'utilisation Digest pour les sites web est que:
L'authentification est gérée par le navigateur lui-même plutôt que d'une page de connexion sur le site web, qui ne regarde pas presque aussi belle , et ne vous permet pas d'avoir toutes les fonctions d'aide environnantes comme "oublié votre mot de passe?" que nous attendons de nos jours. Si vous n'avez pas de connexion SSL, les utilisateurs avisés peuvent craindre d'envoyer leur mot de passe de manière non sécurisée (même s'ils ne le sont pas) parce qu'ils ont été formés pour rechercher une connexion SSL lors de la saisie des informations d'identification.
Il existe d'autres systèmes tels que OAuth qui sont également sans danger sur HTTP simple, mais qui est vraiment plus pour les API que les sites Web, donc probablement pas ce que vous voulez.
Oui, mais ce n'est pas une bonne protection. Une attaque de l'homme du milieu pourrait facilement casser ce mécanisme de sécurité. –