HTTP狀態碼是用於表示客戶端和服務端之間的響應狀態的三位數字。其中狀態碼401是表示未授權,即請求客戶端未提供身份驗證信息或者身份驗證失敗。在本文中,我們將從多個方面對401狀態碼進行詳細解讀。
一、401狀態碼原因
HTTP協議定義了幾種身份驗證機制,比如Basic驗證、摘要驗證、OAuth驗證等。當客戶端向服務端發送請求時,服務端需要驗證客戶端的身份。當客戶端未提供身份驗證信息或身份驗證信息不正確時,服務端將返回狀態碼401。
例如,當我們在瀏覽器中訪問一個需要登錄認證的網站時,如果我們未提供正確的用戶名和密碼,服務端將返回401狀態碼。
二、401狀態碼含義
當客戶端收到401狀態碼時,其含義是需提供有效的身份驗證信息,再次向服務端發送請求。服務端將在響應頭中添加一個WWW-Authenticate頭部,該頭部指定了要求客戶端提供的身份驗證機制。
例如,如果服務端使用Basic身份驗證機制,WWW-Authenticate的值將是:「Basic realm=”login”」。此時,客戶端將再次請求時需要在請求頭中添加類似「Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=」的信息進行身份驗證。
三、401狀態碼實例
// Node.js Express示例代碼
app.get('/secureUrl', function (req, res) {
if (!req.headers.authorization || req.headers.authorization.indexOf('Basic ') === -1) {
res.setHeader('WWW-Authenticate', 'Basic realm="login"');
res.status(401).send('Unauthorized');
}
// 驗證身份信息 ...
// 身份驗證成功返回數據 ...
})
在上面的示例中,如果請求頭中不包含身份驗證信息或驗證信息不正確,服務端將返回401狀態碼,並在響應頭中添加WWW-Authenticate頭部,要求客戶端再次發送請求時提供正確的身份驗證信息。
四、使用401狀態碼的正確場景
401狀態碼通常用於需要登錄認證的介面和資源。例如,用戶需要登錄認證才能夠訪問的數據、需要管理員許可權才能夠訪問的介面等。
在使用401狀態碼時,需要同時在響應頭中添加WWW-Authenticate頭部,以指定要求客戶端提供的身份驗證機制。
五、常見誤區
有些開發人員會將身份驗證失敗和授權失敗混淆。在HTTP狀態碼中,授權失敗應該使用403狀態碼而不是401。如果客戶端提供了身份驗證信息,但是沒有訪問相關資源的許可權,服務端應該返回403狀態碼。
另外,有些開發人員也會將身份驗證信息直接放在URL參數中進行傳遞。比如:「http://api.example.com?username=xxx&password=yyy」這樣的方式。這種方式存在安全隱患,不推薦使用。正確的方式是將身份驗證信息通過請求頭進行傳遞。
六、小結
本文對HTTP狀態碼401進行了詳細解讀,包括其原因、含義、實例、正確使用場景以及常見誤區。在開發中,合理使用401狀態碼和WWW-Authenticate頭部可以提高介面和資源的安全性。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/241992.html
微信掃一掃 
支付寶掃一掃 