403 Forbidden vs 401 Unauthorized HTTP 响应
技术问答
376 人阅读
|
0 人回复
|
2023-09-11
|
|
对于存在的网页,但用户没有足够的权限(他们没有登录或不属于正确的用户组),应该提供什么正确的 HTTP 响应?
0 b! v; r7 L1 q8 F; Z401 Unauthorized?
* ]# B+ V2 n+ P403 Forbidden?
# [) m7 L0 a U; _4 h! x还有什么?4 Z1 x! v" y0 p. O- j
到目前为止,我读到的关于两者的区别还不是很清楚。每个响应适合哪些用例?: P0 ?% C4 g# o
/ E; z0 O0 n) f0 A2 S n
解决方案: " r, G+ a2 R( t; A" @8 C
解释:
8 l6 h k. r$ J H* e7 |) _401 Unauthorized存在身份验证错误的问题 HTTP 状态代码。仅此而已:用于身份验证而不是授权。服务器告诉你,你没有通过身份验证 - 身份验证或身份验证不正确- 但请重新验证身份并重试。 为了帮助你,它将永远包含一个WWW-Authenticate标头用于描述如何验证身份。5 O4 U# G( n! G! t* s' }/ c! D
这通常是你的 Web 服务器返回的响应不是你的 Web 应用程序。
( W4 ^. q. A! y" d* j2 d) P7 x这也是很暂时的;服务器要求你再试一次。
: V4 t5 N7 o9 x: b; g p9 M! p所以我用授权。403 Forbidden响应。它是永久性的,它与我的应用逻辑有关,它比 401 更具体。
3 A" a% ~( [! k$ l' {% T# L收到 403 响应是服务器告诉你的,对不起。我知道你是谁——我相信你说的是谁——但你只是没有权利访问这个资源。也许如果你很好地询问系统管理员,你将获得许可证。但请不要在你的困难改变之前打扰我。( q, T8 Q9 A) `. A7 ?" ]/ J+ `
总之,401 Unauthorized响应应应用于缺乏或错误的身份验证,403 Forbidden当用户通过身份验证但无权执行对给定资源的要求时,应在以后使用响应。 |
|
|
|
|
|
|
|
|
|
