为应用程序级策略提供错误 403 页面是一种不好的做法吗？

Question

假设我有一个网站，允许任何人通过 oauth 或类似方式登录，但只允许某些用途创建或修改内容。如果他们以某种方式请求创建新帖子的页面，我将进行检查并在他们没有适当权限的情况下重定向他们。

在这种情况下重定向到“403错误”页面是否可以接受？没有带有 403 状态代码的实际 HTTP 响应，没有失败的数据库或服务器级查询 - 只有我的业务逻辑。如果我提供带有特定解释​​性消息的错误 403 页面，我是否盗用了 HTTP 状态代码的概念？

Answer 1

您可以自由地这样做，但我认为如果您想公开 API，您可以使用实际的 403 响应，因为它们携带的含义将由客户端很好地处理。

如果您想向客户端显示页面并使用重定向，您将失去“403”的含义。

将它们重定向到解释页面而不包含“403”代码不是更好吗？或者更好的是，将他们重定向到更有用的地方，例如注册页面（如果他们必须这样做才能发帖），或者返回带有浮动消息的原始页面。

我们希望帮助用户更接近他们的目标，而不是让他们与技术错误代码混淆。

Answer 2

关于这个话题经常有很多讨论，最终归结为以下选择：

• 5xx？当然不是。这不是服务器错误。
• 400？不完全是，这不是一个格式错误的请求。
• 401？可能不是，401一般用于一般授权，而不是应用程序级别的权限。如果您的用户已登录但角色错误，并且您想让用户知道，请使用其他内容。
• 404？也许，因为服务器无法找到该特定用户的资源，但如果您想告诉用户“这样的资源可用，但您因为缺乏权限而无法拥有它”然后去做别的事情。
• 403？其实，这句话很有道理。这是 RFC 中的定义
  <块引用>

  403 Forbidden 服务器理解该请求，但拒绝满足该请求。授权不会有任何帮助，并且不应重复请求。如果请求方法不是 HEAD 并且服务器希望公开为什么请求没有被满足，它应该在实体中描述拒绝的原因。如果服务器不希望将此信息提供给客户端，则可以使用状态代码 404（未找到）。

在您的问题中，您提到您打算重定向用户。如果您正在制作RESTFUL Web服务，那么只需返回403。如果您正在制作整个Web应用程序，您可以控制403并重定向......