RFC2616: Eu realmente preciso definir www_authenticate ao retornar 401?
https://stackoverflow.com/questions/2596060
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
De acordo com RFC2616 Se eu retornar 401 em resposta a uma solicitação ao meu servidor (Ruby), "devo incluir um campo de cabeçalho www-autenticate". Isso é realmente verdade? Não definir o cabeçalho parece não ter impacto negativo. Estou usando o MERB como estrutura da web e isso não me força a definir o cabeçalho.
Estou perdendo alguma coisa ou essa é uma regra mais honrada na violação?
A Web Frameworks deve forçar o desenvolvedor a definir o cabeçalho ao retornar 401?
Solução
A questão é se você espera que os usuários possam navegar da falha 401 para uma autenticação bem -sucedida daqui para frente. Se você não fornecer um cabeçalho www-autenticate, está mudando o significado do 401 de 'você deve fornecer credenciais' para 'não gostamos da sua espécie por aqui'. Isso pode ser bom para seus propósitos, mas a importação inerente ao conceito de rejeitar credenciais sem oferecer uma maneira de corrigir o problema é a raiz por trás do 'deve'.
Outras dicas
Você envia 401 se deseja que o cliente se autentique, nesse caso, precisa dizer como.
Então o que você querer o cliente para fazer? Se for apenas uma mensagem "você não pode fazer isso", considere 403.
