RFC2616: мне действительно нужно устанавливать WWW_Authenticate при возврате 401?

Question

Согласно RFC2616 , если я возвращаю 401 в ответ на запрос к моему (Ruby) серверу, я "ДОЛЖЕН включить поле заголовка WWW-Authenticate".Это правда?Не установка заголовка, похоже, не оказывает негативного влияния.Я использую Merb в качестве веб-фреймворка, и он не заставляет меня устанавливать заголовок.

Я что-то упустил или это правило более уважаемое в нарушении?рамки заставляют разработчика устанавливать заголовок при возврате 401?

Answer 1

Вопрос в том, ожидаете ли вы, что пользователи смогут перейти от сбоя 401 к успешной аутентификации в будущем. Если вы не предоставите заголовок WWW-Authenticate, то вы меняете значение 401 с «Вы должны предоставить учетные данные» на «нам здесь не нравится ваш вид». Это может подойти для ваших целей, но коренная причина «ДОЛЖНА» - неотъемлемая невежливость концепции отказа от полномочий без предоставления способа решения проблемы.

Answer 2

Вы отправляете 401, если хотите, чтобы клиент прошел аутентификацию, и в этом случае вам нужно сообщить, как.

Так что же вы хотите клиенту сделать? Если это просто сообщение «Вы не можете сделать это», рассмотрите 403.