其他的答案是,必須理解RFC 2616上下文中的身份驗證和授權(quán)只引用RFC 2617的HTTP身份驗證協(xié)議�����。HTTP狀態(tài)代碼不支持RFC 2617以外的方案進行身份驗證���,在決定使用401或403時也不考慮�����。
簡練
未經(jīng)授權(quán)表示客戶端未通過RFC 2617身份驗證�,而服務器正在啟動身份驗證進程���。禁忌表示客戶端已通過RFC 2617身份驗證且沒有授權(quán)�,或者服務器不支持所請求的資源的RFC 2617。
這意味著���,如果您有自己的滾動登錄進程��,并且從不使用HTTP身份驗證�,則403始終是正確的響應���,而401不應該使用�����。
詳細而深入
從RFC 2616
10.4.2 401未經(jīng)授權(quán)
請求需要用戶身份驗證�����。響應必須包括一個WWW認證頭字段(第14.47節(jié))��,該字段包含適用于請求資源的問題?�?蛻舳丝梢允褂眠m當?shù)氖跈?quán)頭字段重復請求(第14.8節(jié))���。
和
10.4.4 403禁止服務器理解請求�,但拒絕履行請求。授權(quán)于事無補����,不應重復請求。
首先要記住的是�,本文檔上下文中的“身份驗證”和“授權(quán)”特別提到了來自RFC 2617的HTTP身份驗證協(xié)議。它們不引用任何您自己創(chuàng)建的使用登錄頁創(chuàng)建的身份驗證協(xié)議����。我將使用“登錄”來指通過rfc 2617以外的其他方法進行的身份驗證和授權(quán)。
因此����,真正的區(qū)別不是問題是什么,甚至不是有解決辦法����。不同之處在于服務器希望客戶機下一步做什么。
401表示無法提供資源����,但服務器請求客戶端通過HTTP身份驗證登錄,并已發(fā)送回復頭以啟動進程��?����?赡苡性试S訪問資源的授權(quán),可能沒有�,但讓我們嘗試一下,看看會發(fā)生什么�����。
403表示無法提供資源��,對于當前用戶��,沒有辦法通過RFC 2617解決這一問題����,也沒有嘗試的意義。這可能是因為已知沒有任何級別的身份驗證是足夠的(例如��,因為IP黑名單)��,但可能是因為用戶已經(jīng)通過身份驗證�,并且沒有權(quán)限。RFC 2617模型是一個用戶��,一個憑據(jù)���,因此用戶可能擁有第二組可被授權(quán)的憑據(jù)的情況可能會被忽略��。它既不建議也不暗示某種類型的登錄頁面或其他非RFC 2617身份驗證協(xié)議可能有幫助��,也可能沒有幫助-這超出了RFC 2616標準和定義�。
編輯:RFC 2616是過時的����,請參閱RFC 7231和RFC 7235.
