我读了很多关于使用http 403或http 401来管理未经授权的请求的内容。
我认为如果我的应用程序使用一个阶段身份验证,那么使用http 403更合适。由于http 401响应定义表明需要进行身份验证,因此如果用户不是loggin并且他尝试访问页面,那么应用程序应该需要用户名/密码。但是如果用户被认证并且应用程序只有一个阶段认证,那么如果用户未被授权则返回403是正确的代码,因为即使用户重新键入他的用户名和密码,也没有任何内容可以进行。但如果我的应用程序需要两个阶段验证,例如输入第二个密码,那么返回http 401将更合适。任何一个人都可以这样做吗?