Как вы делаете аутентификацию?

Тяжело, неюзабельно, но очень интересно - авторизация по openssl сертификатам (а-ля webmoney keeper light).

В реализации точно тяжело. Я затрахался делать, чтобы работало во всех браузерах. IE упорно отказывался работать... помню, что решил эту проблему, но не помню как.

Обновил вопрос

Может это не совсем то, что тебе нужно, но я вот недавно сделал по идее Spoofing авторизацию через мыло.

Вот пример - http://vpoisk.tv/login/

Вот для Джанго апп - https://bitbucket.org/pi11/django-email-auth

Интересный способ, правда для мейнстрима слишком экзотично и задолбает пользователя

Ничего интересного, devise

почему задолбет, в 90% ты все равно ходишь за активацией, главное куку на дольше выставлять

Пока использую самое простое - basic auth через https.

В принципе неплохо наверное. Окошки выбрасываете пользователю или как-то руками делаете?

Мне нравится подход мозилловской Persona:

Developers don’t need to manage their own sign-in program and implement a separate email verification process — and they don’t need to ask users to remember another password. In a single step, you can turn visitors into trusted users and get an email address for them.

Show your users that you respect their privacy and that you will give them a choice about sharing their data.

Еще нигде не использовал, но как раз собираюсь.

Достаточно прилично, спасибо. Это OpenID, OAuth провайдер, фокусированый на предоставление логинов?

Нет-нет, что вы. Оно наоборот стремится решить некоторые проблемы свойственные им:

Persona is open and distributed: anyone with an email address can sign in to sites using Persona. What's more, anyone can host their own Identity Provider or delegate to other authorities, just like with email. This is in contrast to social login services which require an account with a single, centralized service.

Persona also takes a novel approach to protecting user privacy by putting the user's browser in the middle of the authentication process: the browser obtains credentials from the user's email provider, and then turns around and presents those credentials to a website. The email provider can't track the user, but websites can still be confident in the user's identity by cryptographically verifying the credentials. Most other systems, even distributed ones like OpenID, require that the sites «phone home» before allowing a user to log in.

Под капотом оно использует BrowserID.

Сейчас просто ставится кука с session_id после ввода корректного логина/пароля. Вся система извне доступна только по https.

А 100500 атак разных с обманом пользователя, фреймами и т.д?

У нас очень узкоспециализированный софт с сильно ограниченным списком пользователей. Так что тратить время на мощную систему защиты нет никакого смысла. Если кто из руководства озаботится проблемой безопасности - начнем пускать только по хардварному ключу на флешке.

Нужно сначало джангу выучить, а потом аппы писать.

login|email + пароль -> подписанная кука с user_id

Перед каждым запросом вытаскиваю юзера из базы и кладу в окружение. Соответственно проверки на существование(мало ли его удалили, на статус(мало ли его зобанили))

session_id через https юзал обычно. Да и через http тоже. Для чуть большей секьюрности можно делать айдишки сессий протухаемыми и довольно часто их менять.