<br><br><div class="gmail_quote">On Tue, Jun 9, 2009 at 10:26 PM, Tomas Doran <span dir="ltr">&lt;<a href="mailto:bobtfish@bobtfish.net">bobtfish@bobtfish.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

This (and the ugly password box) is why most &#39;internet&#39; websites implement auth with a login form - you can be a lot more flexible about the level of user-authenticity you require at each stage...</blockquote></div>

<br><br>Thanks for the explanation. There are two reasons why I&#39;m considering HTTP auth despite it&#39;s lack of flexibility. I&#39;d be happy to hear about altrenatives.<br><br>1) static performance: serving static files directly from apache is much faster than through catalyst. I find it specially noticeable with big files like large pictures and pdfs. Some of the files should not be public. If I do authentication in catalyst I can&#39;t serve them directly from apache.<br>

<br>2) dynamic/AJAX laziness: pages that use XMLHttpRequest stop working when authentication expires. Unless I manually detect the condition and allow the user to re-authenticate. Using HTTP auth should let the browser take care of this.<br>

<br>Regards,<br>Francesc<br><br><br><br><br>