RFC2616:我回来时401真的需要设置WWW_Authenticate?
-
25-09-2019 - |
题
根据 RFC2616 如果我响应于返回401请求到我(红宝石)服务器,I“必须包含一个WWW-Authenticate头字段”。这是真的吗?不设置头似乎没有任何负面影响。我使用的Merb的web框架,并没有强迫我设置的标题。
我缺少的东西,或者这是一个规则,违反更荣幸?
应该Web框架迫使显影剂以设置头部401返回时?
解决方案
问题是你是否希望用户能够从401未能成功验证前进导航。如果你不能提供一个WWW-Authenticate头,那么你是从“你必须提供凭证”到“我们不喜欢你的那种在这里”改变401的含义。这可能是罚款的目的,但在拒绝证书并没有提供一种方式来解决这个问题的概念固有不礼貌的背后是“必须”的根源。
其他提示
您送401,如果你想在客户端进行身份验证,在这种情况下,你需要告诉它如何。
那么你的要的客户怎么办?如果它只是一个“你不能这样做”的消息,考虑403。
不隶属于 StackOverflow