当密码过期时,其他API会返回什么?我的意思是:用户名和密码是正确的,但已过期。什么是在过期的密码上返回的好的http状态码?
Here我发现
为过期或撤销证书的机制可以 指定为认证方案定义的一部分。
是否有关于过期凭证的正确和/或正确http状态码的规范?是否可以使用凭证过期来处理http状态代码?
当密码过期时,其他API会返回什么?我的意思是:用户名和密码是正确的,但已过期。什么是在过期的密码上返回的好的http状态码?
Here我发现
为过期或撤销证书的机制可以 指定为认证方案定义的一部分。
是否有关于过期凭证的正确和/或正确http状态码的规范?是否可以使用凭证过期来处理http状态代码?
的过期密码为无效密码,不能被服务器接受。
因此,如果您使用HTTP身份验证(在Authorization
标头中发送凭据),则可以使用带描述性负载的401
。
下面是一些引号从RFC 7235,对于HTTP/1.1的认证基准:
的
Authorization
头域允许用户代理进行认证 本身与源服务器 - 通常但不一定在 收到401
(未授权)响应后。它的值由 凭证组成,其中包含所请求资源领域的代理用户 的认证信息。Authorization = credentials
[...]
的
401
(未授权)状态代码表示该请求未 被应用,因为它缺少有效认证证书 目标资源。生成401响应的服务器必须发送 aWWW-Authenticate
标题字段,其中包含至少一个适用于目标资源的 挑战。如果请求包含身份验证凭证,则
401
响应表明授权已被拒绝,这些凭证为 凭证。 [...]
对于“描述性负载”,您的意思是......标题?内容消息? ... 什么? – sensorario
@sensorario我的意思是在响应正文中发送错误表示(JSON,XML,文本等)。 –