RFC2616: Do I Satz WWW_Authenticate wirklich brauchen, wenn 401 zurückkehrt?
https://stackoverflow.com/questions/2596060
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Nach RFC2616 wenn ich wieder 401 in Reaktion auf ein Anfrage an meinen (Rubin) Server, I "muss ein WWW-Authenticate-Header-Feld enthalten." Ist das wirklich wahr? Nicht die Header-Einstellung scheint keine negativen Auswirkungen zu haben. Ich verwende Merb als Web-Framework und es hat mich nicht zu zwingen, den Header zu setzen.
fehlt Bin ich etwas oder ist dies in der Regel geehrt mehr in die Bresche?
Should Web-Frameworks der Entwickler zwingen, den Header zu setzen, wenn 401 Rückkehr?
Lösung
Die Frage ist, ob Sie Benutzer erwarten zu können, von dem 401 Ausfall zu einer erfolgreichen Authentifizierung geht nach vorn navigieren. Wenn Sie einen WWW-Authenticate-Header nicht zur Verfügung stellen, dann ändern Sie die Bedeutung der 401 von ‚Sie liefern müssen Anmeldeinformationen‘ auf ‚wir nicht wie Ihre Art hier in der Nähe‘. Dies könnte gut für Ihre Zwecke, aber die inhärente Unhöflichkeit im Konzept Anmeldeinformationen abzulehnen, ohne eine Möglichkeit bietet, das Problem ist die Wurzel hinter dem ‚Muss‘ zu beheben.
Andere Tipps
Sie senden 401, wenn Sie den Client zu authentifizieren wollen, in diesem Fall müssen Sie es sagen, wie.
Also, was tun Sie wollen der Kunde zu tun? Wenn es nur eine ist Nachricht „können Sie das nicht tun“, berücksichtigen 403.
