应该使用什么http状态代码来告诉客户端会话已超时?

在一个网页中,它使用YUI连接管理器/数据源将AJAX请求发送到服务器,如果会话(其中包含有关用户是否已通过身份验证的信息)已经超时,则那些只能通过身份验证查看的ajax响应用户应返回一个http状态码,告诉客户端会话已超时,然后客户端要么将其重定向到登录页面,要么询问他是否要扩展会话。

我的问题是,在这种情况下,哪种HTTP状态代码最适合告诉客户端会话已超时?

Wiki的HTTP状态代码列表

回答:

我所能建议的最好是带有WWW-Authenticate标头的HTTP 401状态代码。

请求的问题在于RFC

2616指出“授权无济于事,不应重复该请求。”

(即,无论您是否通过身份验证,永远都不会访问该资源)。

请求的问题是它指出它们“必须包括WWW-Authenticate标头字段”。正如有人指出的那样,在WWW-

Authenticate标头中使用自定义值似乎没有违反规范。

我在RFC 2617中看不到任何原因,为什么HTTP

401状态与这样的自定义WWW-Authenticate标头结合在一起是不可行的:

WWW-Authenticate: MyAuthScheme realm="http://example.com"

该OAuth规范实际上似乎只做这一点,因为他们推荐这个(虽然他们使我想起了RFC的奇解释):

WWW-Authenticate: OAuth realm="http://server.example.com/"

RFC似乎没有对此进行专门的制裁,但是我实际上看不到它被它禁止了(它似乎与任何“必须”,“不得”,“应该”或“不应”条件都没有冲突)。

我希望对于超时和CSRF令牌无效之类的问题,有一个更具体的HTTP状态代码,这样更清楚了。

以上是 应该使用什么http状态代码来告诉客户端会话已超时? 的全部内容, 来源链接: utcz.com/qa/401106.html

回到顶部