当密码过期时,其余的api应该返回?我的意思是:用户名和密码是正确的,但已过期.
在这里我发现了
过期或撤销凭证的机制可以指定为身份验证方案定义的一部分.
是否有关于过期凭证的正确和/或正确http状态代码的规范?凭证到期时,http状态代码是否可以处理?
cas*_*lin 15
一个过期的密码是无效的密码,不能接受由服务器.
因此,如果您使用HTTP身份验证(在Authorization标头中发送凭据),则可以使用401描述性有效负载.
以下是RFC 7235的一些引用,HTTP/1.1中的身份验证参考:
的
Authorization报头字段允许用户代理本身与源服务器进行认证-通常,但不一定,在接收到后401(未授权)响应.其值由包含所请求资源领域的用户代理的认证信息的凭证组成.Run Code Online (Sandbox Code Playgroud)Authorization = credentials[...]
该
401(未授权)状态代码表示该请求没有被应用,因为它缺乏为目标的资源有效认证证书.生成401响应的服务器必须发送WWW-Authenticate包含至少一个适用于目标资源的挑战的头字段.如果请求包含身份验证凭据,则
401响应表明已拒绝授权这些凭据.[...]