![](/img/trans.png)
[英]Net::HTTP::Unauthorized - how do I get at the WWW-Authenticate header?
[英]RFC2616 : Do I really need to set WWW_Authenticate when returning 401?
根据RFC2616,如果我返回401以响应对我的(Ruby)服务器的请求,我“必须包含WWW-Authenticate头字段。” 这是真的吗? 没有设置标题似乎没有负面影响。 我使用Merb作为Web框架,它不会强迫我设置标头。
我是否遗漏了某些内容,或者这条规则在违规方面更为荣幸?
问题在于您是否希望用户能够从401故障导航到成功的身份验证。 如果您未能提供WWW-Authenticate标题,那么您正在将“您必须提供凭据”的401的含义更改为“我们不喜欢您的类型”。 这可能对你的目的来说很好,但是在没有提供解决问题的方法的情况下拒绝凭证这一概念的固有不礼貌是“必须”的根源。
如果您希望客户端进行身份验证,则发送401,在这种情况下,您需要告诉它如何进行身份验证。
那么您希望客户做什么? 如果它只是一个“你不能这样做”的消息,请考虑403。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.