[Moscow.pm] Аутентификация для REST API

[Ivan Petrov]

>> Может подойти простой вариант c HTTP Basic Auth

> Basic auth, если не ошибаюсь, давно не рекомендуют пользовать по
> соображениям безопасности, вроде digest лучше, но как-то не пришлось
> поюзать

кто бы мне сказал чем Basic auth хуже с точки зрения безопасности чем
токен/куки и проч?
если кто-то может перехватить трафик то любой запрос он может
повторить.
выход из этого только один - введение понятия id запроса, TTL и
подписи. Но в большинстве API нафиг не надо.