当密码过期时,其余的api应该返回?我的意思是:用户名和密码是正确的,但已过期。
Here我找到了
到期或撤销凭据的机制可以是 指定为身份验证方案定义的一部分。
是否有关于过期凭据的正确和/或正确http状态代码的说明?凭证过期是否可以处理http状态代码?
答案 0 :(得分:10)
过期的密码是无效的密码,服务器不得接受 。
因此,如果您使用HTTP身份验证(在Authorization标头中发送凭据),则可以将401与描述性有效负载一起使用。
以下是来自RFC 7235的引用,HTTP / 1.1中的身份验证参考:
Authorization标头字段允许用户代理进行身份验证 本身与原始服务器 - 通常,但不一定,后 收到401(未经授权)回复。它的价值包括 包含用户身份验证信息的凭据 代理请求的资源领域。Authorization = credentials[...]
401(未授权)状态代码表示请求没有 已被应用,因为它缺乏有效的身份验证凭据 目标资源。生成401响应的服务器必须发送 包含至少一个的WWW-Authenticate标题字段 适用于目标资源的挑战。如果请求包含身份验证凭据,则
401回复表明授权已被拒绝 证书。 [...]
答案 1 :(得分:-1)
不是HTTP标准的一部分,419身份验证超时表示 先前有效的验证已过期。它用作 401 Unauthorized的替代产品,以与 否则,通过身份验证的客户端将被拒绝访问特定服务器 资源。