RFC2616によると、(Ruby) サーバーへの要求に応答して 401 を返す場合、「WWW-Authenticate ヘッダー フィールドを含める必要があります」。これは本当ですか?ヘッダーを設定しないことによる悪影響はないようです。Web フレームワークとして Merb を使用していますが、ヘッダーを設定する必要はありません。
私は何かを見逃していますか、それともこれは違反でより尊重されるルールですか?
2 に答える
4
問題は、ユーザーが 401 の失敗から成功した認証に進むことができると期待するかどうかです。WWW-Authenticate ヘッダーの提供に失敗すると、401 の意味が「資格情報を提供する必要があります」から「あなたの類はここでは好きではありません」に変わります。これはあなたの目的には問題ないかもしれませんが、問題を解決する方法を提供せずに資格情報を拒否するという概念に内在する無礼は、「MUST」の背後にある根本です。
于 2010-04-07T21:35:04.620 に答える
1
クライアントに認証をさせたい場合は 401 を送信します。その場合は、その方法を伝える必要があります。
それで、あなたはクライアントに何をしてもらいたいですか?「これはできません」というメッセージだけの場合は、403 を検討してください。
于 2010-04-08T07:21:30.847 に答える