Web サーバーからの応答で 401 ステータス コードを受け取りました。ただし、401 例外をトラップしてデータを処理すると、応答には実際には承認された要求と同じ情報が含まれます。これを確認するためのデータでステータス 200 を受信した別のクライアントがあります。Fiddler もデータを確認します。
これはサーバーの不適切な動作だと思います。ただし、そのように確認するための仕様が見つかりません。RFC 2616 と 2617 を読みましたが、最も関連性の高いスニペットは次のようです。
401 応答に前の応答と同じチャレンジが含まれており、ユーザー エージェントが少なくとも 1 回認証を試みている場合、応答で指定されたエンティティをユーザーに提示する必要があります。そのエンティティには関連する診断情報が含まれている可能性があるためです。
ただし、エンティティの一般的な定義により、エンティティは理論的には、承認された要求に送信されるデータになる可能性があります。
401 でデータ/認証拒否データがない場合、または許可されたデータがある 200 の方が快適です。しかし、これは欠陥であり、今後問題が発生する可能性があるのではないかと心配しています. 適切に 401 されているかどうかはわかりません。
401 応答を生成するクライアント リクエストに承認済みデータを返してはならないという仕様はありますか? それとも、このシナリオは有効ですか?