Code de statut HTTP pour l'authentification manquante

HTTP définit le statut 401 non autorisé pour l'authentification manquante, mais ce statut ne s'applique qu'à l'authentification HTTP. Quel statut dois-je retourner avec un cookie de session basé sur le système, lorsqu'une autorisation de demande qui se passe?

InformationsquelleAutor deamon | 2010-11-29

25

Officiellement, 403 Forbidden est la bonne réponse. Il est défini comme

Autorisation ne sera pas l'aide et de la demande ne DOIT PAS être répété.

La confusion de la partie "Autorisation ne va pas aider", mais il veut dire vraiment "HTTP authentification" (WWW-Authenticate)
- Cela signifie que l'utilisateur ne devrait JAMAIS tenter à nouveau la demande. Ce n'est pas appropriée.
- Techniquement, je crois que vous avez raison. Dans le cas de la mise en œuvre pratique, je crois qu'un 200 avec un HTML message d'erreur ou 302 redirection vers une autre page où une session de connexion peuvent se produire est plus commun (et peut-être sans doute plus utile).
- Philips - C'est exact, la demande ne devrait pas l'être. Une fois que les en-têtes de la requête sont modifiés de façon à avoir un bon cookie de session (donc pas la MÊME demande), l'accès sera accordé.
- Je ne sais pas si elle n'est pas trompeuse fortement référence à la MÉTHODE d'autorisation. IMO il n'a pas d'importance si l'autorisation est transféré sur les cookies ou de champ d'en-tête, les informations essentielles du code de statut est si la raison de l'échec est dû à la non autorisée de la demande (jeton expiré/non spécifié – 401) ou si l'utilisateur n'est pas approuvé pour accéder à cette ressource et il n'y a aucun moyen de le changer avec son "compte" (403).
- +1 pour "mais il veut dire vraiment"
InformationsquelleAutor Martin v. Löwis
5

403, je crois, est techniquement correcte (et sans doute plus efficace si vous êtes à la mise en œuvre d'un API /protocole).

401, n'est pas appropriée, car elle fait référence à l'autorisation à-tête WWW-Authenticate, qui un cookie de session ne l'est pas.

Si c'est un site web où vous êtes en essayant de refuser l'accès basé sur un cookie de session, de 200 avec un organisme approprié pour indiquer que la session est nécessaire ou un 302 temporaire rediriger vers une page de connexion est souvent meilleur.
- Ce serait réparable ma en fait de la définition d'un cookie HTTP schéma d'authentification.
- Reschke - Bien les cookies ne sont pas, par définition, ont beaucoup à voir avec l'authentification; surtout, ils sont en ajoutant une certaine quantité de "état" à un "état-moins" protocole HTTP. Les Cookies eux-mêmes ne pas authentifier quoi que ce soit. Ils sont tout simplement des informations envoyées à un serveur qui serveur précédemment demandé au navigateur d'enregistrer. Oui, cette information peut être utilisée pour déterminer si vous avez déjà été authentifié en tant qu'utilisateur (généralement via HTTP POST / GET). Il peut aussi simplement être utilisé pour indiquer si vous avez vu une annonce particulière avant, ou visité le site avant et pendant, etc.
InformationsquelleAutor userx
-1

Vous pouvez faire usage d'un test de la condition et de passer sur le

Code d'erreur: 401.1-échec d'ouverture de session. La tentative de connexion échoue, probablement à cause d'un nom d'utilisateur ou mot de passe n'est pas valide.

Qui est spécifiquement utilisé pour le mot de passe incorrect ou non du nom d'utilisateur et mot de passe.
Espérons que cela vous aide.
- 401.1 semble être Microsoft support.microsoft.com/kb/247593
- Est-il un RFC définissant 401.1?
- Les codes d'état HTTP composé de trois chiffres. Il n'y a pas une telle chose comme NNN.N sur le fil (sauf peut-être dans le tir, ce qui ne veut pas effectuer aucun sens)
- Je ne pouvais pas trouver toutes les RFC sur 401.1
- Je n'ai pas fait 401.1, il est utilisé par microsoft dans les sites à l'aide de asp.net de la technologie. Je ne pouvais pas trouver toutes les autres références autres que de microsoft.
InformationsquelleAutor Vasanth

Vous devez vous connecter pour publier un commentaire.