如何解决登录表单的HTTP状态代码正确吗?
| 我正在为应用程序实施身份验证,并且正在使用具有“身份验证方法”的可插拔系统。这使我既可以实现HTTP Basic认证,又可以基于HTML认证。 使用HTTP基本/摘要身份验证,服务器将发送“ 0”响应标头。但是,根据HTTP / 1.1 RFC: 响应必须包括一个WWW-Authenticate头域(第14.47节),该头域包含适用于所请求资源的质询。 由于我不知道任何\“ html \” WWW-Authenticate标头,因此发送带有HTML登录表单的401
解决方法
对于HTML,我认为您应该回答400。
就非HTML请求而言,这也可能是正确的,因为据我所知,401的设计目的是响应对需要身份验证的内容的请求,而不是响应身份验证请求。
HTML并不总是允许纯粹使用RESTful API,因此可以在imo处四处走动,但是在这种特殊情况下也许我看不到更好的方法。
,这个如何 ?
当请求登录页面是公共页面时,您将获得所需的内容,因此它是200状态代码:
GET /login -> 200
GET /secured -> 401 with WWW-Authenticate header
/secured
GET /secured -> 403 with HTML login form (with action=\"/login\")
POST /login -> 403 with HTML login form,displaying errors
GET /secured -> 403 with HTML login form (with action=\"/login\")
POST /login -> 403 with HTML page saying \"I know you are John,but you can\'t get this page\"
GET /secured -> 403 with HTML login form (with action=\"/login\")
POST /login -> 302 (temporary redirection to /secured)
GET /secured -> 200
login form
200 OK
error
401 Unauthorized
403 Forbidden
login form
200
error
400
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
