有没有可行的替代“传统”cookie身份验证的方法？

HTTP摘要认证（与HTTP基本认证完全不同）在直接HTTP上非常安全，而且在服务器上实现也非常简单。没有任何东西被发送到网络上可以显示出密码是什么，只有一些信息允许客户端向服务器证明他们有正确的密码。

如果您想要一个体面的解释来实现HTTP摘要认证在您的应用程序中，Paul James有一篇优秀的文章。

HTTP身份验证唯一真正的问题在于浏览器本身：用户界面很糟糕，但可以通过一些Javascript来克服。

补充：这个答案已经有将近十年了。现在，您应该真的无论其他考虑都应该使用HTTPS。

当与SSL (https://) 网站一起使用时，HTTP基本身份验证是完全安全的，因为所有HTTP流量（包括凭据）都将被加密。但这种方法的一个主观缺点是，使用此方法时，您的用户需要与其浏览器的身份验证弹出窗口进行交互，以便登录您的网站。

要明确的是，唯一真正的方法是通过HTTPS实现。但是，我假设这不是一个选项，并且我也假设您正在寻找“完全托管的登录”系统，因此我会继续：除了HTTPS之外，还可以使用JavaScript在客户端进行安全哈希密码，以防止明文密码在传输过程中泄露，但这只是半个解决方案。这种方法的问题包括：1.重放攻击仍然是可行的选择。2.只有启用JavaScript的用户才能以这种方式进行身份验证。另一种方法是更复杂的挑战/响应机制：1.在登录页面上发送“挑战”。2.在客户端计算密码+挑战的哈希值。3.提交登录。4.在服务器端计算密码+挑战的哈希值（不得信任页面请求中的哈希值），并进行比较。这种方法的问题包括：1.只有启用JavaScript的用户才能以这种方式进行身份验证。2.必须在服务器上存储明文密码以验证挑战响应，并且必须加密或以其他方式保护。现在，公平地说，问题＃2并不像听起来那么危险。实际上，当您使用HASH身份验证时，哈希本身被提升到“密钥”级别。在这一点上，使用cookie存储类似于会话ID的随机生成的登录参考ID相当安全，但服务器可能希望使用引用IP作为IV或KEY的一部分进行加密，以防止其他用户劫持ReferrenceID。无论如何，我希望这提供了一些关于设计方向的指导。

使用HTTPs时，HTTP身份验证并不是不安全的。

首先，HTTP身份验证在SSL上是安全的，除了您无法实现真正的“注销”功能之外。用户需要关闭他们的浏览器，这非常糟糕。
其次，如果您需要使其安全，则必须在所有情况下使用HTTPS，然后您可以获得基本身份验证类似的东西，例如“摘要”和“NTLM身份验证”。

当您使用https时，您还可以在客户端浏览器中安装证书并进行验证。myopenid为其OpenID帐户提供此功能。我有一个帐户，从客户端的角度来看，它运行得非常好。

使用SSL加密与HttpOnly Cookies相结合，以帮助防止XSS攻击，是使用Cookies的最佳选择。虽然我不会说它是百分之百安全的。