对于存在但用户没有足够权限(他们未登录或不属于正确的用户组)的网页,要提供的正确HTTP响应是什么?
401未授权?403禁止?还有别的吗?
到目前为止,我读到的每一篇文章都不太清楚两者之间的区别。每个响应都适合哪些用例?
对于存在但用户没有足够权限(他们未登录或不属于正确的用户组)的网页,要提供的正确HTTP响应是什么?
401未授权?403禁止?还有别的吗?
到目前为止,我读到的每一篇文章都不太清楚两者之间的区别。每个响应都适合哪些用例?
当前回答
!!! DEPR:答案反映了直到2014年以前的普遍做法!!!
TL;博士
401:与身份验证有关的拒绝403:拒绝与身份验证无关
实际示例
如果apache需要身份验证(通过.htaccess),并且您单击“取消”,则它将响应401“所需授权”
如果nginx找到了一个文件,但没有读取/访问该文件的访问权限(用户/组),那么它将响应403 Forbidden
RFC(2616第10节)
401未授权(10.4.2)
含义1:需要认证
请求需要用户身份验证。。。
含义2:身份验证不足
…如果请求已经包括授权凭证,则401响应指示已拒绝对这些凭证的授权。。。
403禁止(10.4.4)
含义:与身份验证无关
…授权没有帮助。。。
更多详情:
服务器理解该请求,但拒绝履行该请求。
应说明实体拒绝的原因
可以改用状态代码404(未找到)
(如果服务器希望将此信息保留给客户端)
其他回答
其含义如下:
401:用户未(正确)验证,资源/页面需要验证
403:用户的角色或权限不允许访问请求的资源,例如,用户不是管理员,请求的页面是管理员的。
注意:从技术上讲,403是401的超集,因为给未经认证的用户403也是合法的。无论如何,区分更有意义。
根据RFC 2616(HTTP/1.1)403在以下情况下发送:
服务器理解该请求,但拒绝履行该请求。授权没有帮助,不应重复该请求。如果请求方法不是HEAD,并且服务器希望公开请求未完成的原因,则应在实体中描述拒绝的原因。如果服务器不希望向客户端提供此信息,则可以使用状态代码404(未找到)
换句话说,如果客户端可以通过认证访问资源,则应发送401。
编辑:RFC2616已过时,请参阅RFC9110。
401未授权:
如果请求已经包括授权凭证,则401响应指示已拒绝对这些凭证的授权。
403禁止:
服务器理解该请求,但拒绝履行该请求。
从您的用例来看,用户似乎没有经过身份验证。我会返回401。
401响应是指以下之一:
缺少访问令牌。访问令牌已过期、吊销、格式错误或无效。
403响应另一方面意味着访问令牌确实有效,但用户没有执行所请求的操作的适当权限。
401:您需要HTTP基本身份验证才能看到这一点。
如果用户只需要使用您站点的标准HTML登录表单登录,401将不合适,因为它特定于HTTP基本身份验证。
403:此资源存在,但您无权查看它,HTTP基本身份验证也无济于事。
我不建议使用403来拒绝访问/包含之类的内容,因为就web而言,这些资源根本不存在,因此应该使用404。
换句话说,403表示“此资源需要HTTP基本身份验证以外的某种身份验证(例如使用网站的标准HTML登录表单)”。
https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2