是否有一种标准方法可以让RESTful API的使用者知道如果提供授权,端点可以获得更多信息?举一个例子,如果没有提供授权,可以向GET https://example.com/users/10请求收到此类回复。
据我所知,该场景没有HTTP状态。我能想到的最近的是207 Multi-Status 200 OK和401 Unauthorized子状态,但207并非真正标准,每个定义需要XML,我不愿意这样做。
答案 0 :(得分:1)
谈到REST,最大的问题在于几乎没有标准化。
就我个人而言,我的问题没有明确的解决方案,但207听起来不错,可能是唯一的出路。
第二个是总是返回整个实体,只填写这些不需要授权的字段,并且(不幸的是)API文档中明确说明了所需的授权信息(是的,我知道API应该提供什么根据HATEOAS只是一个根URI,但我认为它还不够。