0

我正在开发需要向 Angular 客户端应用程序提供 JWT 令牌的 JWT 身份验证服务,但我遇到了以下困境:

如果提供了错误的凭据,应该返回什么服务:

  1. {token: null},或
  2. 401 未授权Http 消息

当涉及安全问题时,这有什么不同吗?

4

1 回答 1

2

服务可以返回文本消息和 401 标头:

HTTP/1.1 401 Unauthorized Content-Type: application/json
{
"error": "unauthorized"
}

一个php可以:

<? echo json_encode("error" = > "Not Authorized");
      http_response_code(401);
      exit ;
?>

有时我什至更喜欢从服务器返回 404,未经授权的浏览器可以说调用者的方式很好,甚至发送了错误的令牌

于 2018-02-24T12:49:22.093 回答