个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
身份验证服务允许禁用用户帐户(一种软删除)。
如果服务器随后收到对禁用用户的身份验证请求,否则该请求是有效的,服务器应该返回 401 还是 403?使用任一状态代码,我都会返回一条消息,指示该帐户已被禁用。
为了快速引用,相关报价来自 HTTP/1.1 spec (强调我的):
401未经授权
The request requires user authentication. The response MUST include aWWW-Authenticate header field (section 14.47) containing a challengeapplicable to the requested resource. The client MAY repeat therequest with a suitable Authorization header field (section 14.8). Ifthe request already included Authorization credentials, then the 401response indicates that authorization has been refused for thosecredentials. If the 401 response contains the same challenge as theprior response, and the user agent has already attemptedauthentication at least once, then the user SHOULD be presented theentity that was given in the response, since that entity mightinclude relevant diagnostic information. HTTP access authenticationis explained in "HTTP Authentication: Basic and Digest AccessAuthentication" [43].
403 禁止访问
The server understood the request, but is refusing to fulfill it.Authorization will not help and the request SHOULD NOT be repeated.If the request method was not HEAD and the server wishes to makepublic why the request has not been fulfilled, it SHOULD describe thereason for the refusal in the entity. If the server does not wish tomake this information available to the client, the status code 404(Not Found) can be used instead.
最佳答案
基于 an email由 Roy T. Fielding 撰写,显然有 a bug在当前的 HTTP 规范中。
规范预期的阅读方式如下(使用上述电子邮件中的引号):
401“未经验证”:
you can't do this because you haven't authenticated
403“未经授权”:
user agent sent valid credentials but doesn't have access
因此,在禁用用户的情况下,403 是正确的响应(404 也是一个选项)。
关于 "disabled"用户的 HTTP 401 Unauthorized 或 403 Forbidden?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9220432/
24
4
0
我一直收到这个“禁止您无权访问此服务器上的/。此外,在尝试使用 ErrorDocument 处理请求时遇到 403 禁止错误。”当尝试访问我的网站时,错误仍然存在,但没有安装 WordPress
我对Kibana创建的“新用户”有问题(使用用户“ flex ”)。这是我做的顺序。 我正在使用ELK for 7.5.1版本 首先,我通过添加elasticsearch.yml 来启用xpack.s
我只是在Elasticsearch 7.1.0中设置了xpack 如下在elasticsearch.yml中: xpack.security.enabled: true discovery.type:
我刚刚在新安装的 ES 堆栈上设置了身份验证。 我跟着: https://www.elastic.co/guide/en/elastic-stack-overview/current/get-star
我尝试在我的 Spring Boot 应用程序上配置 OpenFeign,我使用 pokeapi 进行测试。 我编写了这段代码: @FeignClient(value = "pokeapi", url
我正在使用strapi,我在调用api时收到错误403 Forbidden,例如http://localhost:1337/data 我已经调用了所有的 API,结果是相同的 403 错误 我也用 p
当我尝试将图片上传到“汽车”对象时,我被拒绝访问 S3。但是自从我添加了 S3 以来,assets 文件夹中的站点图像显示得很好。我得到的具体错误是这样的: 2015-02-17T14:40:48.4
当我尝试在管理员授权后添加新帖子时看到此响应。 我有基于 Spring Boot 安全性的基本授权: @Configuration @EnableWebSecurity public class Se
我有一个响应式(Reactive)(Spring WebFlux)Web 应用程序,其中很少有 protected 资源的 REST API。(Oauth2)。要手动访问它们,我需要获取具有客户端凭据
可以看到的错误是 client.GetKeyStats 函数返回的 403 Forbidden。 基于源代码无需认证。 源代码:https://github.com/timpalpant/go-iex
堆栈跟踪 Exception in thread "main" com.amazonaws.services.s3.model.AmazonS3Exception: Forbidden (Servic
几天前,当我尝试将文件推送到我的 S3Bucket 时收到此异常。更早的一切似乎都能正常工作,我确信我这边没有代码更改。 com.amazonaws.services.s3.model.AmazonS
当用户尝试访问他们无权访问的资源时,我的服务器会返回 403 禁止错误。除了 header 之外,服务器还会写入一条描述错误的小消息。 在 Firefox 中,错误消息显示得很好,用户知道发生了什么。
我支持一个 java 应用程序,它有一个搜索栏,可以匹配关键字并从缓存中获取结果。 该应用程序在 Tomcat 中运行,并且还有一个 Apache Web 服务器。 搜索 aaa' 时出现问题,特殊字
我正在将网站从一台托管服务器移动到另一台托管服务器。我已经上传了文件。我正在使用表单例份验证。基本上,我要搬到 GoDaddy。 我可以直接访问登录表单:www.mysite.com/login.as
我创建了一个 Azure KeyVault,我希望我的应用服务能够访问它。据我所知,我的 App Service 的主体应该有权访问 KeyVault,但在尝试从中检索时,我总是收到以下错误。无论我是
我尝试通过应用上的 URLRequest 将 multipart/form-data 发送到 Cloud Functions for Firebase。为了测试我的云函数和应用程序是否已连接,我创建了
这是后端 SiteController.php 访问规则。当我浏览此 url site.com/backend/web/site/login 时。它显示禁止 (#403)。 return [
使用 java 访问 Google PubSub、Dataflow 和 BigQuery 的 Spring boot 应用程序。该应用程序是使用 maven 构建的,并将 jar 文件复制到 Goog
我在 Kubernetes* 的仪表板站点上到处都是“被禁止”(见图) 重现: 通过站点创建 Google Kubernetes 集群,而不是通过 shell。 选择 Kubernetes 版本 1.
我是一名优秀的程序员,十分优秀!