之前我們已經(jīng)詳細(xì)介紹了403HTTP錯(cuò)誤代碼。那么401(未經(jīng)授權(quán))和403(禁止)狀態(tài)代碼之間到底有什么區(qū)別?他們是同一回事嗎?讓我們仔細(xì)看看!

[[331309]]

RFC標(biāo)準(zhǔn)

401(未經(jīng)授權(quán))的最新RFC標(biāo)準(zhǔn)是RFC 7235：401(未經(jīng)授權(quán))狀態(tài)碼表示該請(qǐng)求尚未應(yīng)用，因?yàn)樗鄙籴槍?duì)目標(biāo)資源的有效身份驗(yàn)證憑據(jù)...用戶代理可以使用新的或替換的Authorization標(biāo)頭字段重復(fù)該請(qǐng)求。

403(禁止)是RFC 7231中最新定義的：403(禁止)狀態(tài)碼表示服務(wù)器理解了請(qǐng)求但拒絕對(duì)其進(jìn)行授權(quán)...如果請(qǐng)求中提供了身份驗(yàn)證憑據(jù)，則服務(wù)器認(rèn)為它們不足以授予訪問(wèn)權(quán)限。

明顯原因

如前一篇文章所述，403錯(cuò)誤可能是已登錄的情況，但是用戶沒有足夠的特權(quán)來(lái)訪問(wèn)請(qǐng)求的資源。例如，一般用戶可能正在嘗試加載“管理員”路由。另一方面，遇到401錯(cuò)誤最明顯的是你根本沒有登錄或提供了錯(cuò)誤的密碼。這是兩個(gè)最常見的錯(cuò)誤原因。

不太明顯的原因

在某些情況下，它并不是那么的簡(jiǎn)單。由于限制并不完全取決于登錄用戶的憑據(jù)，因此可能會(huì)發(fā)生403錯(cuò)誤。例如，服務(wù)器可能已鎖定特定資源以僅允許來(lái)自預(yù)定義IP地址范圍的訪問(wèn)，或者可能利用了地理阻止。VPN可以繞過(guò)后者進(jìn)行訪問(wèn)。

即使用戶輸入正確的憑據(jù)，也會(huì)發(fā)生401錯(cuò)誤。這種情況很少見，但是如果授權(quán)標(biāo)頭格式錯(cuò)誤，它將返回401。例如，你可能要包含一個(gè)JWT(JSON Web令牌)在請(qǐng)求標(biāo)頭中，其格式為Authorization: Bearer

eyJhbGci......yJV_adQssw5c。如果你在JWT之前忘記了“承載者”一詞，則會(huì)遇到401錯(cuò)誤。在使用Postman測(cè)試正在開發(fā)的API時(shí)，我自己遇到了這個(gè)問(wèn)題，卻忘記了auth標(biāo)頭的正確語(yǔ)法!