那些遇到过的问题

缺少身份验证的HTTP状态代码

dea*_*mon 20 rest http http-status-codes

HTTP定义状态401 Unauthorized以丢失身份验证,但此状态仅适用于HTTP身份验证.当未经授权的请求发生时,我应该使用基于会话cookie的系统返回什么状态?

Mar*_*wis 25

在形式上,403 Forbidden是正确的回应.它被定义为

授权无效,请求不应重复.

令人困惑的部分可能是"授权无济于事",但它们的确意味着"HTTP身份验证"(WWW-Authenticate)

  • @Erik Philips - 这是正确的,请求不应该.一旦请求的标头被更改为具有正确的会话cookie(因此不是SAME请求),将授予访问权限. (6认同)
  • 这意味着用户不应该再次尝试请求.这不合适. (3认同)
  • 从技术上讲,我相信你是对的.在实际实现的情况下,我相信200具有基于HTML的错误消息或302重定向到可以发生基于会话的登录的另一页面更常见(并且可能更有用). (2认同)
  • 我不知道强烈引用授权方法是否具有误导性.如果授权通过cookie或头字段传输无关紧要,状态代码的关键信息是如果失败的原因是由于未经授权的请求(令牌过期/未指定 - 401)或者用户是未被批准访问此资源,并且无法使用其"帐户"进行更改(403). (2认同)

use*_*erx 5

403我认为技术上是正确的(如果您正在实施自定义API /协议,则可能最有效).

401是不合适的,因为它引用具有WWW-Authenticate标头的授权,而会话cookie不是.

如果这是一个面向公众的网站,您试图根据会话cookie拒绝访问,200具有适当的主体以指示需要登录或302临时重定向到登录页面通常是最佳的.

归档时间:

查看次数:

12620 次

最近记录:

15 年 前
403 Forbidden vs 401 Unauthorized HTTP响应 2544
更多相关链接
相关归档
Java中的简单HTTP服务器,仅使用Java SE API 318
使用Fiddler测试WCF REST服务时,如何获取基本身份验证握手? 16
"已登录"的HTTP状态 10
如何防止Web服务API中的并发? 6
带有 React 的 ASP.NET Core - 431 请求标头太长 6
使用Teamcity REST API获取构建日志 5
Express.js res.send - 是否在Node.js手册中? 4
Restler始终返回未找到 4
发布文件并使用pycurl传递参数 3
HTTP / 2响应标头字段不在Google Chrome中的Pascal Case中 2
难疑归档
在JavaScript中循环遍历数组 2940
循环内的JavaScript闭包 - 简单实用的例子 2689
如何列出提交中的所有文件? 2619
如何使用scp将文件夹从远程复制到本地? 2562
运算符重载的基本规则和习惯用法是什么? 2074
如何退出PostgreSQL命令行实用程序:psql 1770
进程和线程有什么区别? 1513
在JavaScript对象数组中按id查找对象 1435
macOS Mojave Update后,Git无法正常工作(xcrun:错误:无效的活动开发者路径(/ Library/Developer/CommandLineTools) 1190
测量Python中经过的时间? 1031