RESTful API 中未登录与未授权的不同 HTTP 状态

Question

因此，在我的 API 中发送一些不同的状态标头，包括 404、409、201、302 等。现在我遇到了 401 Unauthorized 问题。目前，如果用户未登录（整个 API 均受权限管理）或者用户不满足正在检索/修改的特定资源的特定访问要求，我就会发送该信息。

现在，我还控制前端客户端（一个 jQuery/HTML 应用程序），并且我想区分 401 的两种情况。对于未登录，我应该使用不同的状态吗？处理它的最佳方法是在标题旁边发送正文内容吗？

Answer 1

您应该使用 403 来指示用户无权访问该资源。使用 401 用于指示用户需要提供您当前使用的凭据。请参阅 401 和 403 的说明 此处。

Answer 2

正如laz所说，当您对用户进行身份验证时，您应该使用403，但用户无权执行她所要求的操作。例如，您可能允许获取资源，但不允许删除或放置。

• 401 是不正确的，因为它基本上表示“我不认识这些凭据”
• 403 是正确的，因为它表示“您不允许这样做”

无论如何，响应正文应始终包含更多信息，即使它是错误响应。这为客户提供了一条出路，希望继续前进（使用嵌入式链接）或通过提供有关如何继续的足够信息（例如“我的记录表明您没有删除 XXX 的权限，请联系您的系统管理员并询问FOOBAR 许可”）。