RFC2616: Мне действительно нужно установить www_authenticate при возврате 401?
https://stackoverflow.com/questions/2596060
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Согласно с RFC2616. Если я верную 401 в ответ на запрос на мой (RUBY) сервер, я должен включать в себя поле WWW-аутентифицирующего заголовка ». Это действительно правда? Не установка заголовка, кажется, не имеет негативного воздействия. Я использую Merb как веб-каркас, и она не заставляет меня установить заголовок.
Я что-то упускаю, или это правило более почитается в нарушении?
Если веб-каркасы заставляют разработчику установить заголовок при возврате 401?
Решение
Этот вопрос состоит в том, ожидаете ли вы, что пользователи смогут ориентироваться от неисправности 401 успешной аутентификации. Если вы не сможете предоставить заголовок WWW-аутентификации, вы изменяете значение 401 от «Вы должны предоставить учетные данные», нам не нравится ваш вид здесь. Это может быть в порядке для ваших целей, но присущая нежелительность в концепции отклонения учетных данных, не предлагая способ исправления проблемы, является корнем за «должен».
Другие советы
Вы отправляете 401, если хотите, чтобы клиент провел аутентификацию, в этом случае вам нужно сказать, как.
Так что ты хочу клиент делать? Если это просто «вы не можете сделать это» сообщение, рассмотрите 403.
