我所能建议的最好是带有WWW-Authenticate标头的HTTP 401状态代码。
403 请求的问题在于RFC
2616指出“授权无济于事,不应重复该请求。”
(即,无论您是否通过身份验证,永远都不会访问该资源)。
401 请求的问题是它指出它们“必须包括WWW-Authenticate标头字段”。正如有人指出的那样,在WWW-
Authenticate标头中使用自定义值似乎没有违反规范。
我在RFC 2617中看不到任何原因,为什么HTTP
401状态与这样的自定义WWW-Authenticate标头结合在一起是不可行的:
WWW-Authenticate: MyAuthScheme realm="http://example.com"
该OAuth规范实际上似乎只做这一点,因为他们推荐这个(虽然他们使我想起了RFC的奇解释):
WWW-Authenticate: OAuth realm="http://server.example.com/"
RFC似乎没有对此进行专门的制裁,但是我实际上看不到它被它禁止了(它似乎与任何“必须”,“不得”,“应该”或“不应”条件都没有冲突)。
我希望对于超时和CSRF令牌无效之类的问题,有一个更具体的HTTP状态代码,这样更清楚了。
