0

我正在尝试烧瓶安全......它有很多不错的部分。我遇到了一些古怪的行为,虽然我不太明白。从我查看的代码来看,代码的工作方式看起来非常有意,但我无法理解其中的原理。

如果您使用保护视图@auth_token_required并且不满足条件,则返回 401。完全有道理。

但是,如果您使用保护视图@roles_required并且不满足标准,则服务器将重定向 (302) 到未经授权的视图。

这对我来说毫无意义,为什么他们都不会表现得一致。事实上,在这两种情况下,我都想要并期待 401。

谁能解释原因以及我为什么想要这个?或者有人可以解释自定义 @roles_required 行为的最佳方法吗?

谢谢!

4

1 回答 1

0

我认为这与不同级别的未经授权的响应有关。第一个是 401 错误,第二个是 403 错误。

这是两者之间的区别:

总之,401 Unauthorized 响应应该用于缺少或错误的身份验证,而403 Forbidden 响应应该在之后使用,当用户通过身份验证但无权对给定资源执行请求的操作时。

来源:403 Forbidden vs 401 Unauthorized HTTP 响应

于 2015-12-22T10:06:53.257 回答