根据 RFC2616如果我返回 401 以响应对我的 (Ruby) 服务器的请求,我“必须包含一个 WWW-Authenticate header 字段”。这是真的吗?不设置标题似乎没有负面影响。我将 Merb 用作 Web 框架,它不会强制我设置 header 。
我是不是遗漏了什么,或者这条规则在违反时更受尊重?
Web 框架是否应强制开发人员在返回 401 时设置 header ?
最佳答案
问题是您是否希望用户能够从 401 失败导航到以后的成功身份验证。如果您未能提供 WWW-Authenticate header ,那么您正在将 401 的含义从“您必须提供凭据”更改为“我们不喜欢这里的您”。这对您的目的来说可能没问题,但拒绝凭据而不提供解决问题的方法的概念中固有的不礼貌是“必须”背后的根源。
关于ruby - RFC2616 : Do I really need to set WWW_Authenticate when returning 401?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2596060/