十分なアクセス権がない状態で、401または405応答コードをREST APIユーザーに返す必要がありますか？

Question

私は、認証/認可コンポーネントも持つAPIを開発しています。

認証ステータスに関係なく誰でも書き込み可能（POST）ですが、認証されていない場合、通常のユーザーとして認証されているか、管理者として認証されているか、アクセスしようとしているリソースについては、 GET、DELETE、およびPUTに対して異なる応答を返す。

私は、認証されていない、または許可されていないユーザーに最も適切な応答コードを見つけようとしています。心http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.htmlに

ください：

無断 -

> 401が禁断 - > 403

メソッドは許可されていません - > 405

はのは、具体的な例を使ってみましょう：

• John Doeは、401または405を受け取った場合、DELETEで認証されていませんか？
• Amyは認証されていますが、承認されていません。

（ジョンとエイミーが禁止または意味するものではありません不正されているにもかかわらず、彼らは異なるHTTP動詞と同じリソースにアクセスすることがアレントを覚えておいてください。）

感謝。

Answer 1

405 Method Not Allowedは、この方法をサポートしていない場合にのみ使用してください。 クライアントには、この方法を使用できないと伝えるべきではありません。

あなたの場合の唯一の良いHTTPコードは401 Unauthorizedです。メソッドが存在し、メソッドにアクセスするためにログインする必要があることをクライアントに示します。この場合

Answer 2

は、私は明確化のためのいくつかの例を提供すると思う便利です。

• 非認証+サポートされている方法= 401
• 非認証+サポートされていない方法= 405
• 認証+サポート+認定方法= 2xx
• 認証済み+認定済み+未対応メソッド= 405
• Au手続き的な観点からthenticated +無断+サポートされている方法= 403
• 認証+無断+サポートされていない方法=つまり405

、：メソッドはサポートされているかどうか

1. チェック。そうでない場合：405
2. サポートされている場合は、ユーザーが認証されているかどうかを確認します。そうでない場合：401
3. 認証された場合は、ユーザーが承認されているかどうかを確認します。そうでない場合：403
4. 承認されている場合：2xx

EDIT：私は、この図につまずいたし、それがこの投稿を渡ってつまずく可能性がある他の誰にも役に立つかもしれないと思いました。拡大するにはクリックしてください。

オリジナルhere。