<div>You should not send name/password in clear text. You should send it using HTTP+TLS == HTTPS! My three suggestions should be used together.</div><div>The more salient point is that a REST client may or may not like cookies, because you cannot, for example, issue multiple requests in parallel until you've first done the stateful, cookie-generating, initial server round-trip.</div>
<div> </div><div>HTTPS has had some performance problems with an additional round-trip during connection negotiation for TLS. For browsers that re-use the connection (all HTTP/1.1 browser), this is not much of a problem. However, our friends at Google have actually done a lot of research in how to front-load the necessary packets, so that you can recude the negotiation overhead to close to zero, without a change in protocol! It's quite fascinating. For an initial look, check out:</div>
<div><a href="http://blog.chromium.org/2011/05/ssl-falsestart-performance-results.html">http://blog.chromium.org/2011/05/ssl-falsestart-performance-results.html</a></div><div> </div><div>Sincerely,</div><div> </div><div>jw</div>
<div> </div><div><br clear="all"><br>--<br>Americans might object: there is no way we would sacrifice our living standards for the benefit of people in the rest of the world. Nevertheless, whether we get there willingly or not, we shall soon have lower consumption rates, because our present rates are unsustainable. <br>
<br>
<br><br></div><div class="gmail_quote">On Fri, Jul 8, 2011 at 10:40 PM, Max Lapshin <span dir="ltr"><<a href="mailto:max.lapshin@gmail.com">max.lapshin@gmail.com</a>></span> wrote:<br><blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;" class="gmail_quote">
<div class="im">On Sat, Jul 9, 2011 at 9:20 AM, Jon Watte <<a href="mailto:jwatte@gmail.com">jwatte@gmail.com</a>> wrote:<br>
> You've already gotten some good answers; however, having worked extensively<br>
> with this myself, I recommend:<br>
><br>
> 1) Use HTTPS for all traffic. Computers are fast. Crypto is cheap. Cookie<br>
> theft is a reality on open channels.<br>
><br>
<br>
</div>This is not as clear as it seems to.<br>
1) HTTPS add delay. It is not a blocking problem for social<br>
network/wiki, but it is a profit penalty for online shop<br>
2) HTTPS still has issues with Internet Explorer, when some code is<br>
HTTP and some is HTTPS. And when something is HTTPS, but IE thinks it<br>
is HTTP<br>
<div class="im"><br>
<br>
> 2) Use Basic-auth over HTTP -- this sends name and password,<br>
> base-64-encoded.<br>
><br>
<br>
</div>Sorry, but it is very, very bad recommendation. You are afraid of<br>
cookie stealing and this is why you recommend to send name and<br>
password<br>
plaintext on each request. What for?<br>
</blockquote></div><br>