之前我們已經詳細介紹了403HTTP錯誤代碼。那麼401(未經授權)和403(禁止)狀態代碼之間到底有什麼區別?他們是同一回事嗎?讓我們仔細看看!
RFC標準
401(未經授權)的最新RFC標準是RFC 7235:401(未經授權)狀態碼表示該請求尚未應用,因為它缺少針對目標資源的有效身份驗證憑據……用戶代理可以使用新的或替換的Authorization標頭欄位重複該請求。
403(禁止)是RFC 7231中最新定義的:403(禁止)狀態碼表示伺服器理解了請求但拒絕對其進行授權……如果請求中提供了身份驗證憑據,則伺服器認為它們不足以授予訪問權限。
明顯原因
如前一篇文章所述,403錯誤可能是已登錄的情況,但是用戶沒有足夠的特權來訪問請求的資源。例如,一般用戶可能正在嘗試加載「管理員」路由。另一方面,遇到401錯誤最明顯的是你根本沒有登錄或提供了錯誤的密碼。這是兩個最常見的錯誤原因。
不太明顯的原因
在某些情況下,它並不是那麼的簡單。由於限制並不完全取決於登錄用戶的憑據,因此可能會發生403錯誤。例如,伺服器可能已鎖定特定資源以僅允許來自預定義IP位址範圍的訪問,或者可能利用了地理阻止。VPN可以繞過後者進行訪問。
即使用戶輸入正確的憑據,也會發生401錯誤。這種情況很少見,但是如果授權標頭格式錯誤,它將返回401。例如,你可能要包含一個JWT(JSON Web令牌)在請求標頭中,其格式為Authorization: Bearer eyJhbGci……yJV_adQssw5c。如果你在JWT之前忘記了「承載者」一詞,則會遇到401錯誤。在使用Postman測試正在開發的API時,我自己遇到了這個問題,卻忘記了auth標頭的正確語法!