缺少身份验证的 HTTP 状态代码

Question

HTTP 为缺少身份验证定义了状态 401 Unauthorized，但此状态仅适用于HTTP 身份验证。当发生未经授权的请求时，我应该使用基于会话 cookie 的系统返回什么状态？

Answer 1

从形式上来说，403 Forbidden 是正确的响应。它定义为

授权不会有任何帮助，并且不应重复请求。

令人困惑的部分可能是“授权不会有帮助”，但它们的真正意思是“HTTP 身份验证”（WWW-Authenticate）

Answer 2

403 我相信在技术上是正确的（如果您正在实现自定义 API/协议，这可能是最有效的）。

401 是不合适的，因为它指的是使用 WWW-Authenticate 标头进行授权，而会话 cookie 则不是。

如果这是一个面向公众的网站，您尝试根据会话 cookie 拒绝访问，则最好使用 200 和适当的正文来指示需要登录，或者 302 临时重定向到登录页面。