假设您使用基于令牌的身份验证,您将在此方案中使用哪个状态代码:
用例将是一个应用程序,它会自动捕获401并使用刷新令牌发出请求。如果此令牌无效,服务器将使用401响应,则客户端将尝试永久请求具有刷新令牌的新访问令牌。但它应告诉客户,它应该使用其凭据(例如电子邮件和密码)重新进行身份验证。
我只是想知道哪种状态代码最适合这种情况,因为规范说如果403 Forbidden"授权无效"。
答案 0 :(得分:1)
我不会使访问和刷新令牌可互换:使用Access-Tokens访问受保护资源并使用Refresh-Token从特殊端点获取新的Access-Token。 OpenID Connect以这种方式工作。
你会有一个HTTP请求更多,但HTTP代码不会有问题,在我看来,你会得到一个更干净的代码。