RFC2616: Ai-je vraiment besoin de mettre WWW_Authenticate lors du retour 401?
https://stackoverflow.com/questions/2596060
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Selon RFC2616 si je retourne 401 en réponse à une demande à mon serveur (Ruby), I « DOIT inclure un champ d'en-tête WWW-Authenticate. » Est-ce vraiment vrai? Ne pas fixer l'en-tête ne semble avoir aucun impact négatif. J'utilise Merb comme framework web et il ne me force pas à mettre l'en-tête.
Est-ce que je manque quelque chose ou est-ce une règle plus honoré dans la brèche?
Si frameworks Web forcer le développeur de définir l'en-tête lors du retour 401?
La solution
La question est de savoir si vous attendez que les utilisateurs puissent naviguer à partir de la 401 non une authentification réussie à l'avenir. Si vous ne parvenez pas à fournir un en-tête WWW-Authenticate, vous changez le sens de la 401 de « Vous devez fournir des informations d'identification » à «nous ne voulons pas votre genre ici. Cela pourrait être très bien pour vos fins, mais le impolitesse inhérent au concept de rejeter les informations d'identification sans offrir un moyen de résoudre le problème est la racine derrière le « MUST ».
Autres conseils
Vous envoyez 401 si vous voulez que le client authentifie, dans ce cas, vous devez lui dire comment.
Alors qu'est-ce que vous veulent le client à faire? Si c'est juste un « vous ne pouvez pas le faire » message, compte 403.
