formulaire de connexion au service via 401 Unauthorized

Question

Supposons qu'un utilisateur non authentifié tente d'obtenir la page qui seuls les utilisateurs autorisés peuvent voir/profil/préférences

Est-ce une pratique normale de répondre à cela avec 401 non autorisé ainsi que le contenu de la page de connexion ou est-il préférable de servir 302 Trouvé rediriger vers la page de connexion, puis renvoyer l'utilisateur à/profile/préférences?

Quels sont les avantages et les inconvénients de chaque méthode? Pouvez-vous fournir des exemples de sites utilisant la première méthode?

Answer 1

Si vous parlez d'une "page de connexion", vous utilisez l'authentification par formulaire. Le service d'un 401 n'a de sens que s'il y a authentification au niveau HTTP (par exemple, en utilisant basic-auth ou digest-auth), car la réponse 401 doit inclure un en-tête WWW-Authenticate: avec le défi auquel le navigateur doit répondre.

En outre, si vous faites des formulaires auth, vous avez presque certainement et non voulez servir un 301-vos utilisateurs ne pourront jamais dépasser votre écran de connexion. :-) 301 est pour les déménagements permanents. Pour quelque chose comme une redirection pour l'authentification des formulaires, vous devez utiliser un 302.