Дайджест-аутентификация HTTP и обычная HTTPS-аутентификация

С точки зрения производительности, https требует, чтобы все было зашифровано: запрос, ответ и учетные данные.
Это, по необходимости, требует больше ресурсов сервера (ЦП / время, ОЗУ), чем дайджест-аутентификация HTTP, которая просто хеширует AUTH учетные данные, поэтому они не могут быть легко перехвачены / украдены.

Итак, при прочих равных условиях https + Basic Auth будет медленнее, чем http + Дайджест Аут.
Насколько медленнее? Вероятно, не любая сумма, которую вы собираетесь заметить, кроме первоначального подключения и рукопожатия SSL.

Остальная часть этого ответа полностью украдена из верхнего ответа на этот вопрос о переполнении стека, охватывающего точно такой же материал.

Плюсы и минусы HTTP Digest Authentication достаточно ясно объяснены в статье Википедии на эту тему - вы должны это прочитать!

Говоря прямо: HTTP Digest Auth защитит вас только от потери пароля в виде открытого текста для злоумышленника (и учитывая состояние безопасности MD5, может быть, даже не это).

Однако он широко открыт для атак "человек посередине", а также, в зависимости от реализации, поскольку большинство расширенных функций являются необязательными, - воспроизведение, словарь и другие формы атак.

Однако самое большое различие между HTTPS-соединением и HTTP-соединением, защищенным Digest Auth, заключается в том, что в первом случае все шифруется с помощью шифрования с открытым ключом, а в последнем случае содержимое передается в открытом виде.

Что касается производительности: из вышеупомянутых пунктов должно быть совершенно ясно, что вы получаете то, за что платите (с циклами ЦП).

Для "гибкости" я пойду с: да?