答6:

HuntsBot周刊–不定時分享成功產(chǎn)品案例，學習他們?nèi)绾纬晒⒆约旱母睒I(yè)–huntsbot.com

假設 HTTP 身份驗證（WWW-Authenticate 和 Authorization 標頭）正在使用中，如果以另一個用戶身份進行身份驗證將授予對所請求資源的訪問權限，則應返回 401 Unauthorized。

403 Forbidden 用于禁止所有人訪問資源或限制在給定網(wǎng)絡或僅允許通過 SSL 訪問資源，只要它與 HTTP 身份驗證無關。

如果未使用 HTTP 身份驗證，并且服務具有基于 cookie 的身份驗證方案（如現(xiàn)在的規(guī)范），則應返回 403 或 404。

關于 401，這是來自 RFC 7235 (Hypertext Transfer Protocol (HTTP/1.1): Authentication)：

3.1。 401 Unauthorized 401 (Unauthorized) 狀態(tài)碼表示由于缺少目標資源的有效身份驗證憑據(jù)，請求尚未應用。源服務器必須發(fā)送一個 WWW-Authenticate 頭字段（第 4.4 節(jié)），其中包含至少一個適用于目標資源的質(zhì)詢。如果請求包含身份驗證憑據(jù)，則 401 響應表明這些憑據(jù)的授權已被拒絕?？蛻舳丝梢允褂眯碌幕蛱鎿Q的授權頭字段重復請求（第 4.1 節(jié)）。如果 401 響應包含與先前響應相同的質(zhì)詢，并且用戶代理已經(jīng)嘗試了至少一次身份驗證，那么用戶代理應該向用戶呈現(xiàn)封閉的表示，因為它通常包含相關的診斷信息。

403（和 404）的語義隨著時間而改變。這是從 1999 年開始的 (RFC 2616)：

10.4.4 403 Forbidden 服務器理解請求，但拒絕執(zhí)行。授權將無濟于事，并且不應重復請求。如果請求方法不是 HEAD 并且服務器希望公開請求未完成的原因，它應該在實體中描述拒絕的原因。如果服務器不希望向客戶端提供此信息，則可以使用狀態(tài)代碼 404（未找到）來代替。

2014 年 RFC 7231 (Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content) 改變了 403 的含義：

6.5.3. 403 Forbidden 403（Forbidden）狀態(tài)碼表示服務器理解請求但拒絕授權。希望公開請求被禁止的原因的服務器可以在響應負載（如果有）中描述該原因。如果請求中提供了身份驗證憑據(jù)，則服務器認為它們不足以授予訪問權限?？蛻舳瞬粦褂孟嗤膽{據(jù)自動重復請求?？蛻舳丝梢允褂眯碌幕虿煌膽{據(jù)重復請求。但是，由于與憑證無關的原因，可能會禁止請求。希望“隱藏”當前存在的被禁止目標資源的源服務器可以改為響應狀態(tài)碼 404（未找到）。

因此，403（或 404）現(xiàn)在可能意味著任何事情。提供新的憑據(jù)可能會有所幫助……也可能不會。

我相信這種情況發(fā)生變化的原因是 RFC 2616 假設在實踐中使用 HTTP 身份驗證時，今天的 Web 應用程序使用例如表單和 cookie 構(gòu)建自定義身份驗證方案。

這是有趣的?；?RFC 7231 和 RFC 7235，我看不出 401 和 403 之間有明顯區(qū)別

403 的意思是“我認識你，但你看不到這個資源”。沒有理由混淆。

“如果請求包含身份驗證憑據(jù)，則 401 響應表明這些憑據(jù)的授權已被拒絕?？蛻舳丝梢允褂眯碌幕蛱鎿Q的授權頭字段（第 4.1 節(jié)）重復請求?！钡?，然后是“4.2. 'Authorization' 標頭字段允許用戶代理向原始服務器驗證自己”?？雌饋碓?RFC7235 中他們使用術語“授權”，就像它是“身份驗證”一樣。在這種情況下，經(jīng)過身份驗證但未授權的用戶似乎不應該得到 401，而是 403

@Brian 主要區(qū)別是，如果您的系統(tǒng)使用 RFC 7235 中指定的 HTTP 身份驗證，則返回 401（因此您必須返回帶有此類響應的 WWW-Authenticate 標頭），否則返回 403。

@MichaelBlackburn 不，事實并非如此。服務器不需要知道您返回 403。一方面，舊的 RFC 2616 規(guī)范和新的 RFC 7231 規(guī)范都沒有這樣說；另一方面，新規(guī)范中的“如果在請求中提供了身份驗證憑據(jù)”這句話只有在請求中不包含身份驗證憑據(jù)的某些情況下（即服務器確實確實如此的情況下）可以返回 403 時才有意義不是“認識你”）。

答7:

huntsbot.com精選全球7大洲遠程工作機會，涵蓋各領域，幫助想要遠程工作的數(shù)字游民們能更精準、更高效的找到對方。

401未經(jīng)授權：我不知道你是誰。這是一個身份驗證錯誤。

403 Forbidden：我知道你是誰，但你沒有訪問該資源的權限。這是一個授權錯誤。

不確定它特別“總是”意味著發(fā)件人是未知的。只是他們要求的任何東西都沒有得到授權。

雖然您的解釋看起來令人信服，但我不滿意或不相信它，因為錯誤 401 表示名稱本身的授權，而您正在與身份驗證混合使用。好吧，我可以告訴一個場景，使用我獲得令牌的憑據(jù)意味著成功通過身份驗證，并使用它來訪問該令牌的“未經(jīng)授權的資源”。那是未經(jīng)授權的401。你對此有什么要說的？

@Jasmine 您的擔憂是可以理解的，但上述解釋是正確的。術語沖突是由 http 規(guī)范不符合當前廣泛使用的術語“身份驗證”和“授權”定義引起的?？赡苁怯捎谶@些定義沒有像現(xiàn)在這樣普遍使用。我們被沖突及其引起的混亂所困擾。支持這一點的證據(jù)是瀏覽器的默認行為是在 401 響應中提示輸入憑據(jù)。

這是對公認答案中描述的區(qū)別的精辟總結(jié)。但是，就像公認的答案一樣，這完全是錯誤的。 HTTP 規(guī)范中沒有任何內(nèi)容支持這種區(qū)別，而且規(guī)范根本不允許不使用返回 401 的 WWW-Authenticate 和 Authorization 標頭的典型網(wǎng)站登錄系統(tǒng)。

答8:

huntsbot.com全球7大洲遠程工作機會，探索不一樣的工作方式

這是一個較老的問題，但從未真正提出的一個選項是返回 404。從安全角度來看，投票最高的答案可能會受到 information leakage vulnerability 的影響。比如說，有問題的安全網(wǎng)頁是系統(tǒng)管理頁面，或者更常見的是，是系統(tǒng)中用戶無權訪問的記錄。理想情況下，您甚至不希望惡意用戶知道那里有頁面/記錄，更不用說他們無權訪問了。當我構(gòu)建這樣的東西時，我會嘗試在內(nèi)部日志中記錄未經(jīng)身份驗證/未經(jīng)授權的請求，但返回 404。

OWASP 有一些關于攻擊者如何將此類信息用作攻擊的一部分的more information。

之前的答案中已經(jīng)提到了 404 的使用。您說得對：信息泄漏，這對于任何推出自己的身份驗證/授權方案的人來說應該是一個重要的考慮因素。 +1 提及 OWASP。

具有諷刺意味的是，OWASP 鏈接現(xiàn)在轉(zhuǎn)到 404 頁面。我在 owasp.org/index.php/… 上發(fā)現(xiàn)了類似的東西（我認為）

取決于 API 以及如何授予訪問權限。但是“泄漏”不是問題，如果它為用戶名/密碼返回 401，它肯定與 Web 表單相同嗎？

@anned20 具有諷刺意味的是，您發(fā)布的鏈接也返回 404 頁面。

答9:

huntsbot.com聚合了超過10+全球外包任務平臺的外包需求，尋找外包任務與機會變的簡單與高效。

前段時間有人問過這個問題，但人們的想法還在繼續(xù)。

此草稿（由 Fielding 和 Reschke 撰寫）中的 Section 6.5.3 賦予狀態(tài)代碼 403 與 RFC 2616 中記錄的含義略有不同的含義。

它反映了許多流行的 Web 服務器和框架所采用的身份驗證和授權方案中發(fā)生的情況。

我已經(jīng)強調(diào)了我認為最突出的一點。

6.5.3. 403 Forbidden 403（Forbidden）狀態(tài)碼表示服務器理解請求但拒絕授權。希望公開請求被禁止的原因的服務器可以在響應負載（如果有）中描述該原因。如果請求中提供了身份驗證憑據(jù)，則服務器認為它們不足以授予訪問權限?？蛻舳瞬粦褂孟嗤膽{據(jù)重復請求。客戶端可以使用新的或不同的憑據(jù)重復請求。但是，由于與憑證無關的原因，可能會禁止請求。希望“隱藏”當前存在的被禁止目標資源的源服務器可以改為響應狀態(tài)碼 404（未找到）。

無論您使用什么約定，重要的是在您的站點/API 中提供統(tǒng)一性。

該草案獲得批準，現(xiàn)在是 RFC 7231。

答10:

與HuntsBot一起，探索全球自由職業(yè)機會–huntsbot.com

這些是含義：

401：用戶未（正確）認證，資源/頁面需要認證

403：用戶的角色或權限不允許訪問請求的資源，例如用戶不是管理員，請求的頁面是管理員的。

注意：從技術上講，403 是 401 的超集，因為為未經(jīng)身份驗證的用戶提供 403 也是合法的。反正區(qū)分更有意義。

這是對這個問題的一個很好的 TLDR 答案。

這寫得很清楚，直截了當，但是錯了。當用戶未通過身份驗證時，返回 403s 是完全可以的。規(guī)范中沒有其他說明，并且通常在這種情況下您不能使用 401，因為只有在包含 WWW-Authenticate 標頭時返回 401 才是合法的。

tx @MarkAmery，我稍微更正了句子以包括可能的認證

答11:

huntsbot.com洞察每一個產(chǎn)品背后的需求與收益，從而捕獲靈感

?。?！ DEPR：答案反映了 2014 年之前的常見做法?。?！

TL;博士

401：與身份驗證有關的拒絕

403：與身份驗證無關的拒絕

實際例子

如果 apache 需要身份驗證（通過 .htaccess），并且您點擊 Cancel，它將以 401 Authorization Required 響應

如果 nginx 找到一個文件，但沒有 訪問權限（用戶/組）來讀取/訪問它，它將以 403 Forbidden 響應

RFC（2616 第 10 節(jié)）

401 未經(jīng)授權 (10.4.2)

含義1：需要認證

該請求需要用戶身份驗證。 …

含義2：身份驗證不足

…如果請求已包含授權憑據(jù)，則 401 響應表明已拒絕對這些憑據(jù)的授權。 …

403禁止（10.4.4）

含義：與身份驗證無關

…授權無濟于事…

更多細節(jié)：

服務器理解請求，但拒絕執(zhí)行。

它應該描述實體中拒絕的原因

可以使用狀態(tài)碼 404（未找到）代替

（如果服務器想從客戶端保留此信息）

您的“授權將無濟于事”引用自 2014 年 6 月以來已過時的規(guī)范。tools.ietf.org/html/rfc7231 替換它并說相反 - “客戶可以使用新的或不同的憑據(jù)重復請求?！?因此，現(xiàn)在絕對可以在“需要驗證”和“驗證不足”的場景中使用 403 響應。

謝謝！如果你愿意，你可以編輯答案?，F(xiàn)在我在頂部放了一個棄用警告。

原文鏈接：https://www.huntsbot.com/qa/8KBX/403-forbidden-vs-401-unauthorized-http-responses?lang=zh_CN&from=csdn

打造屬于自己的副業(yè)，開啟自由職業(yè)之旅，從huntsbot.com開始!文章來源地址http://www.zghlxwxcb.cn/news/detail-754762.html

到了這里，關于403 Forbidden vs 401 Unauthorized HTTP 響應的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！