标签: validation rest permissions
我正在构建REST API,我无法决定先检查什么:输入有效性或权限。想象一下,用户尝试将无效日期发布到他们不允许访问的端点。回复应该是403 Unauthorized还是400 Bad Request?
403 Unauthorized
400 Bad Request
此外:是否有一些“官方”规范描述了这一点以及为什么人们会倾向于其中一个?