401未授权有一个问题,HTTP状态码验证错误。就是这样:它用于身份验证,而不是授权。收到401响应时,服务器会告诉您,“您没有经过身份验证——要么根本没有经过身份验证,要么验证不正确——但是请重新验证并重试。”为了帮助您,它将始终包含一个描述如何进行身份验证的WWW-Authenticate头。
这通常是由web服务器而不是web应用程序返回的响应。
这也是暂时的;服务器要求您再试一次。
因此,对于授权,我使用403禁止响应。它是永久性的,它与我的应用逻辑相关联,它比401更具体。
接收到403响应时,服务器会告诉您,“对不起。我知道你是谁——我相信你说的你是谁——但是你没有访问这个资源的权限。也许如果你好好地请求系统管理员,你会得到许可的。但在你的困境改变之前,请不要再来打扰我。”
总之,应该使用401未经授权的响应来进行丢失或错误的身份验证,然后在用户通过身份验证但未被授权对给定资源执行请求的操作时,应该使用403禁止的响应。
也就是说,403的响应说明请求已经与服务端做了交互(身份验证通过),但是401还没跨过服务端门口就吃了闭门羹(因为身份验证有误)
401与403的区别
最新推荐文章于 2024-05-31 10:36:55 发布