- informaci o uživateli ukládám v session
- mohu kompletně ovlivnit vzhled přihlašování (odkaz na připomenutí hesla/registraci, vysvětlení důvodů přihlášení, ...)
- musím chránit session
- podporuje odhlášení, automatické odhlášení
- umožňuje více úrovní bezpečnosti
- nepodporuje GSS-API, NTLM, ...
- pokud klient podporuje JavaScript, lze použít challenge-response mechanismus (heslo není přenášeno v odkrytém tvaru)