RFC2616ます。Do私は本当に401を返すときWWW_Authenticateを設定する必要がありますか？

Question

RFC2616するによれば、IはAに応答401を返す場合私の（ルビー）サーバへの要求、私は「WWW-Authenticateヘッダフィールドを含まなければなりません。」これは本当に本当ですか？ヘッダーを設定しないと、負の影響を与えないように思われます。私は、WebフレームワークとしてMerbのを使用していますし、それは、ヘッダーを設定するために私を強制するものではありません。

アム私は何かが足りないか、このルールより光栄違反しているのですか？

401を返す時に必要Webフレームワークは、ヘッダを設定するために、開発者を強制

Answer 1

問題は、ユーザーが今後成功した認証に失敗401からナビゲートできることを期待しているかどうかです。あなたはWWW-Authenticateヘッダを提供しない場合は、私たちはあなたの親切なこの辺り好きではない 'に「あなたは、資格情報を提供しなければならない」から401の意味を変えています。これはあなたの目的のために細かいかもしれませんが、問題を解決する方法を提供することなく、資格証明書を拒否するという概念に固有の失礼は「MUST」の背後にあるルートです。

Answer 2

あなたはどのようにそれを指示する必要があり、その場合には認証にクライアントが必要な場合は、401を送っています。

ですから、のの行うには、クライアントが何をしたいですか？それだけでメッセージ「あなたはこれを行うことはできません」だ場合は、403を検討します。