标签: rest authentication
在应用程序中,如果登录名和密码正确,我会向用户生成令牌。
但我在某段时间内有关于密码更改的安全政策。
当密码过期时,我需要强制用户更改密码,并阻止API(登录和更改密码端点除外),直到他更改密码。
在这种情况下,其他终端应该回答什么?
答案 0 :(得分:0)
我的决定:
在密码未更改端点之前(user / login,user / chg-pwd除外)回答403 Forbiddent。
403 Forbiddent