当前位置：文江博客话题详情

当资源可用但由于权限而无法访问时更正 HTTP 状态代码

发布于 2024-09-15 05:43:39 字数 307 浏览 4 评论 0原文

我正在为我的计算机科学论文构建动态拼车应用程序的 RESTful 协议。

在协议中，我还必须正式指定每个操作的 HTTP 状态代码。我遇到了这个“隐私相关”问题。假设如下：

GET /api/persons/angela/location

检索用户“angela”的当前位置。显然，并不是每个人都能获得结果。只有安吉拉本人和可能会接她的司机应该能够知道这一点。

我无法决定是否在此处返回 404 Not Found 还是 401 Forbidden。

有什么提示吗？什么是最好的，为什么？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

望笑 2024-09-22 05:43:39

根据维基百科（和RFC 2616)，当页面存在但需要身份验证时使用 401 代码； 403 表示身份验证不会改变任何内容的页面。（在野外，403 通常意味着某些权限错误，而 401 会提示用户输入用户名/密码）。 404 表示文档根本不存在。

就您而言，401 似乎是最合适的代码，因为有某种方法可以对有权访问该页面的用户进行身份验证。

回复收藏 0 原文

Hello爱情风 2024-09-22 05:43:39

如果请求中提供了授权凭据，并且请求者无权访问此资源，则您应返回 403。

如果请求中未提供授权凭据，则您应返回 401。

回复收藏 0 原文

三生一梦 2024-09-22 05:43:39

绝对不是 404。404 只是未找到。
401 访问被拒绝。
403 被禁止。

我会选择401

回复收藏 0 原文

一个人练习一个人 2024-09-22 05:43:39

对我来说，我将使用 400 Bad request。
因为我的应用程序不会以编程方式访问不可访问的资源。
在我看来，过滤用户权限并隐藏无法访问的资源是很好的用户体验。
如果我的服务器收到无法访问的请求，这意味着有人试图做某事。
这就是为什么我在应用程序中选择 400 - Bad request。

回复收藏 0 原文

南城旧梦 2024-09-22 05:43:39

如果用户具有有效的凭据，但没有查看资源的权限，则会出现错误 403。如果用户未经过身份验证（且需要进行身份验证），则会出现错误 401。根据 rfc https://www.rfc-editor.org/rfc/rfc2616#section-10.4.2，错误401表示缺少凭据，错误 403 表示其他授权问题，例如尽管已登录但未授予权限。但只有在您解释拒绝原因（例如缺乏权限）时才应使用它，如果没有解释拒绝的情况根据 RFC，如果提供了经过身份验证的用户，您可以使用 404 错误。

回复收藏 0 原文