AJAX/oData 身份验证的 HTTP 响应和标头？

Question

当身份验证 cookie 过期且需要更新时，oData 或 AJAX 服务应如何响应？

时，服务器应向客户端发送什么

1. 当

   禁止 oData 或 AJAX 服务访问（访问被拒绝）

2. 当会话凭据过时时，并且需要更新，可能通过重定向到 ADFS、OpenID 或 Azure ACS IDP

只要查看维基百科，我就猜测我应该为第一个场景发送某个版本的 403.x，为第二个场景发送 401。

请确认上述内容是否正确，以及我应该在响应标头和正文中包含哪些内容。

我认为不正确的一些示例执行以下操作：

• 以静默方式使 AJAX 服务出错并且不返回任何数据
• 尝试将 AJAX 调用重定向到 IDP
• 将非 JSON 格式的错误文本发送到客户端

Answer 1

使用 HTTP 状态代码总是安全的，而不是编写自己的令牌或类似的东西。

由于 OData 的基本原理是让任何知道如何进行 HTTP 通信的客户端都可以使用，因此使用 HTTP 状态代码是有意义的。客户将决定对特定状态代码执行什么操作。

Answer 2

HTTP 状态代码是最佳选择。 OData 特别不定义任何已在较低级别实现的内容（例如安全性和身份验证）。401

表示未经身份验证，403 表示未经授权。对于场景 1，您只说“访问被拒绝”，但没有说您拒绝访问的原因。用户未经过身份验证吗？然后返回401。用户是否已通过身份验证但缺乏权限？然后返回 403。

对于场景 2，我同意返回详细的 401 状态（即为您的身份验证提供程序提供有效的“WWW-Authenticate”标头。）

我建议从以下位置开始的 Wikipedia 文章（您可能已经找到了）是：https://secure.wikimedia.org/wikipedia/en/wiki/List_of_HTTP_status_codes

希望这对某人有帮助。 :-)