Mã trạng thái HTTP thích hợp để trả về bởi dịch vụ API REST cho lỗi xác thực là gì?

Tôi hiện đang trả lại trái phép 401 bất cứ khi nào tôi gặp phải lỗi xác thực trong ứng dụng API REST dựa trên Django / Piston của mình . Đã xem qua Sổ đăng ký mã trạng thái HTTP Tôi không tin rằng đây là mã phù hợp cho lỗi xác thực, bạn muốn giới thiệu gì?

• 400 yêu cầu xấu
• 401 trái phép
• 403 Cấm
• 405 Phương pháp không được phép
• 406 Không được chấp nhận
• 412 Điều kiện không thành công
• Không thể mong đợi
• Thực thể không thể xử lý 422
• 424 Phụ thuộc thất bại

Cập nhật : "Lỗi xác thực" ở trên có nghĩa là lỗi xác thực dữ liệu ở cấp ứng dụng, nghĩa là, datetime được chỉ định không chính xác, địa chỉ email không có thật, v.v.

Nếu "lỗi xác thực" có nghĩa là có một số lỗi máy khách trong yêu cầu, thì hãy sử dụng HTTP 400 (Yêu cầu xấu). Chẳng hạn, nếu URI được cho là có ngày ISO-8601 và bạn thấy rằng nó ở định dạng sai hoặc tham chiếu đến ngày 31 tháng 2, thì bạn sẽ trả về HTTP 400. Ditto nếu bạn mong đợi XML được định dạng tốt trong một thực thể và nó không phân tích được

(1/2016): Trong năm năm qua , HTTP 422 (Thực thể không thể xử lý) cụ thể hơn của WebDAV đã trở thành một thay thế rất hợp lý cho HTTP 400. Xem ví dụ sử dụng API API . Nhưng xin lưu ý rằng HTTP 422 chưa biến nó thành HTTP 1.1, RFC-7231 .

Các dịch vụ web RESTful của Richardson và Ruby chứa một phụ lục rất hữu ích về thời điểm sử dụng các mã phản hồi HTTP khác nhau. Họ nói:

400 (Yêu cầu xấu Bad)
Tầm quan trọng: Cao.
Đây là trạng thái lỗi phía máy khách chung, được sử dụng khi không có mã lỗi 4xx nào khác phù hợp. Nó thường được sử dụng khi máy khách gửi một đại diện cùng với yêu cầu PUT hoặc POST và đại diện ở định dạng đúng, nhưng nó không có nghĩa gì cả. (trang 38)

và:

401 (mệnh giá trái phép trực tuyến)
Tầm quan trọng: Cao.
Máy khách đã cố gắng hoạt động trên một tài nguyên được bảo vệ mà không cung cấp thông tin xác thực phù hợp. Nó có thể đã cung cấp thông tin sai, hoặc không có gì cả. Thông tin đăng nhập có thể là tên người dùng và mật khẩu, khóa API hoặc mã thông báo xác thực bất cứ điều gì mà dịch vụ đang đề cập đang mong đợi. Một khách hàng thường yêu cầu URI và chấp nhận một chỉ số 401 để họ biết loại thông tin nào cần gửi và ở định dạng nào. [...]

Từ RFC 4918 (và cũng được ghi nhận tại http://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml ):

Mã trạng thái 422 (Thực thể không thể xử lý) có nghĩa là máy chủ hiểu loại nội dung của thực thể yêu cầu (do đó mã trạng thái 415 (Loại phương tiện không được hỗ trợ) là không phù hợp) và cú pháp của thực thể yêu cầu là chính xác (do đó là 400 (Yêu cầu sai ) mã trạng thái không phù hợp) nhưng không thể xử lý các hướng dẫn có trong đó. Ví dụ, điều kiện lỗi này có thể xảy ra nếu một thân yêu cầu XML chứa các hướng dẫn XML được định dạng đúng (nghĩa là đúng về mặt cú pháp), nhưng sai về mặt ngữ nghĩa, về mặt ngữ nghĩa.

Một bản sao trong cơ sở dữ liệu phải là a 409 CONFLICT.

Tôi khuyên bạn nên sử dụng 422 UNPROCESSABLE ENTITYcho các lỗi xác nhận.

Tôi sẽ giải thích dài hơn về mã 4xx tại đây: http://parker0phil.com/2014/10/16/REST_http_4xx_status_codes_syntax_and_sapes/

Đây là:

rfc2616 # phần-10.4.1 - 400 Yêu cầu xấu

Máy chủ không thể hiểu được yêu cầu do cú pháp không đúng . Khách hàng KHÔNG NÊN lặp lại yêu cầu mà không sửa đổi.

rfc7231 # phần-6.5.1 - 6.5.1. 400 yêu cầu xấu

Mã trạng thái 400 (Yêu cầu xấu) chỉ ra rằng máy chủ không thể hoặc sẽ không xử lý yêu cầu do lỗi được coi là lỗi máy khách (ví dụ: cú pháp yêu cầu không đúng định dạng, đóng khung thông báo yêu cầu không hợp lệ hoặc định tuyến yêu cầu lừa đảo) .

Đề cập đến các trường hợp không đúng định dạng (không đúng định dạng)!

rfc4918 - 11.2. Thực thể không thể xử lý 422

Mã trạng thái 422 (Thực thể không thể xử lý) có nghĩa là máy chủ
hiểu loại nội dung của thực thể yêu cầu (do đó mã trạng thái 415 (Loại phương tiện không được hỗ trợ) là không phù hợp) và cú pháp của thực thể yêu cầu là chính xác (do đó là 400 (Yêu cầu sai ) mã trạng thái không phù hợp) nhưng không thể xử lý các hướng dẫn có trong đó. Ví dụ, điều kiện lỗi này có thể xảy ra nếu một thân yêu cầu XML chứa các hướng dẫn XML được định dạng đúng (nghĩa là đúng về mặt cú pháp), nhưng sai về mặt ngữ nghĩa, về mặt ngữ nghĩa .

Phần kết luận

Nguyên tắc chung: [_] 00 bao gồm các trường hợp chung nhất và các trường hợp không được quy định trong mã được chỉ định.

422 phù hợp với lỗi xác thực đối tượng tốt nhất (chính xác là khuyến nghị của tôi :)
Đối với lỗi ngữ nghĩa - Hãy nghĩ về một cái gì đó như xác thực "Tên người dùng này đã tồn tại".

400 được sử dụng không chính xác để xác nhận đối tượng

Tôi có thể nói về mặt kỹ thuật, đó có thể không phải là lỗi HTTP, vì tài nguyên (có lẽ được chỉ định hợp lệ), người dùng đã được xác thực và không có lỗi vận hành (tuy nhiên, thông số kỹ thuật bao gồm một số mã dành riêng như 404 Thanh toán bắt buộc ' Nói một cách nghiêm túc liên quan đến HTTP, mặc dù có thể nên có điều đó ở cấp độ giao thức để bất kỳ thiết bị nào cũng có thể nhận ra điều kiện).

Nếu thực sự đúng như vậy, tôi sẽ thêm trường trạng thái vào phản hồi với lỗi ứng dụng, như

<status> <code> 4 </ code> <message> Phạm vi ngày không hợp lệ </ message> </ status>

Có thêm một chút thông tin về ngữ nghĩa của các lỗi này trong RFC 2616 , tài liệu HTTP 1.1.

Cá nhân, tôi có thể sẽ sử dụng 400 Bad Request, nhưng đây chỉ là ý kiến ​​cá nhân của tôi mà không có bất kỳ sự hỗ trợ thực tế nào.

Chính xác thì bạn có ý gì khi "thất bại xác nhận"? Bạn đang xác nhận cái gì? Bạn đang đề cập đến một cái gì đó như lỗi cú pháp (ví dụ XML không đúng định dạng)?

Nếu đó là trường hợp, tôi muốn nói 400 Yêu cầu xấu có lẽ là điều đúng, nhưng không biết bạn đang "xác nhận" điều gì, thì không thể nói được.