对于需要 SSL/TLS 的请求，发送的正确 HTTP 响应是什么

Question

我正在设计一个 RESTful API，其中一些调用通过 HTTP 公开，而一些调用需要 API 密钥并通过 HTTPS 加密。我正在考虑如果将 HTTP 请求发送到私有资源之一，应该发送什么响应代码。到目前为止，唯一让我惊讶的是412 - Precondition Failed，但标准表明前提条件是由请求者而不是服务器强加的。

对于这种情况是否有适当的响应代码，或者我只需要屈服并执行400？

Answer 1

返回带有原因短语“需要 HTTPS”的 403 似乎是一个实用的选择，也是我所使用的。

请参阅 https://en.wikipedia.org/wiki/HTTP_403

重定向 REST Api 不是好主意，尤其是当您可能不知道如何或什么消耗您的服务时。

Answer 2

返回的相应错误代码类似于 403.4 - 需要 SSL。

尽管 HTTP 1.1 的 RFC 中没有明确记录，此行为确实符合此处概述的要求：

服务器理解该请求，但拒绝满足它。授权不会有帮助，并且不应重复请求。如果请求方法不是 HEAD 并且服务器希望公开为什么请求没有被满足，它应该在实体中描述拒绝的原因。如果服务器不希望将此信息提供给客户端，则可以使用状态代码 404（未找到）。

添加您自己的子代码（如 SSL 示例）在某些情况下可能会有所帮助，但由于此子代码对第三方没有意义，因此我建议不要这样做。

因此，您的最终错误消息将类似于“403 - 私有资源”。请注意，即使在缺少 API 密钥的情况下，也不应使用“401 - 未经授权”，除非您的 API 密钥实际上可以在 WWW-Authenticate 标头字段中传输。

Answer 3

只需发送重定向到相应的 https: URI。

更新

这是一个错误的答案 - 请参阅下面的评论

Answer 4

我不能说这是否被 HTTP 客户端广泛接受，但严格来说 RFC，服务器应该响应：

HTTP/1.1 426 Upgrade Required
Upgrade: TLS/1.0, HTTP/1.1
Connection: Upgrade

来源：
https://www.rfc-editor.org/rfc/rfc2817#section- 4.2

Answer 5

强制 HTTP 客户端使用 HTTPS 的最安全方法是 HTTP 严格传输安全。

以前常见的建议是断开连接，但这种做法已删除以支持 HSTS（OWASP 网站）。