RFC2616ます。Do私は本当に401を返すときWWW_Authenticateを設定する必要がありますか?
-
25-09-2019 - |
質問
RFC2616するによれば、IはAに応答401を返す場合私の(ルビー)サーバへの要求、私は「WWW-Authenticateヘッダフィールドを含まなければなりません。」これは本当に本当ですか?ヘッダーを設定しないと、負の影響を与えないように思われます。私は、WebフレームワークとしてMerbのを使用していますし、それは、ヘッダーを設定するために私を強制するものではありません。
アム私は何かが足りないか、このルールより光栄違反しているのですか?
401を返す時に必要Webフレームワークは、ヘッダを設定するために、開発者を強制
解決
問題は、ユーザーが今後成功した認証に失敗401からナビゲートできることを期待しているかどうかです。あなたはWWW-Authenticateヘッダを提供しない場合は、私たちはあなたの親切なこの辺り好きではない 'に「あなたは、資格情報を提供しなければならない」から401の意味を変えています。これはあなたの目的のために細かいかもしれませんが、問題を解決する方法を提供することなく、資格証明書を拒否するという概念に固有の失礼は「MUST」の背後にあるルートです。
他のヒント
あなたはどのようにそれを指示する必要があり、その場合には認証にクライアントが必要な場合は、401を送っています。
ですから、のの行うには、クライアントが何をしたいですか?それだけでメッセージ「あなたはこれを行うことはできません」だ場合は、403を検討します。
所属していません StackOverflow